Slovník pojmov DPIA a GDPR

Štruktúrovaný analytický proces, pri ktorom prevádzkovateľ systematicky identifikuje a hodnotí riziká plánovaného spracúvania osobných údajov pre práva a slobody fyzických osôb. Povinnosť vypracovať DPIA vyplýva z článku 35 GDPR pri spracúvaniach s vysokým rizikom.

Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov. Prevádzkovateľ nesie primárnu zodpovednosť za súlad spracúvania s GDPR a je povinný vypracovať DPIA.

Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Sprostredkovateľ spracúva údaje len na základe dokumentovaných pokynov prevádzkovateľa. Vzťah medzi nimi musí byť ošetrený zmluvou podľa čl. 28 GDPR.

Identifikovaná alebo identifikovateľná fyzická osoba, ktorej osobné údaje sú predmetom spracúvania. GDPR dotknutým osobám garantuje viaceré práva: právo na prístup, opravu, vymazanie, obmedzenie spracúvania, prenosnosť, námietku a právo nebyť predmetom automatizovaného rozhodovania.

Akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľnou osobou je tá, ktorú možno priamo alebo nepriamo identifikovať, najmä odkazom na identifikátor ako meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo na jeden či viaceré prvky špecifické pre fyzickú, fyziologickú, genetickú, psychickú, ekonomickú, kultúrnu alebo sociálnu identitu.

Citlivé kategórie údajov, ktorých spracúvanie je štandardne zakázané, pokiaľ sa neuplatní niektorá z výnimiek podľa čl. 9 ods. 2 GDPR. Zahŕňajú: rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje (ak umožňujú jednoznačnú identifikáciu), zdravotné údaje, údaje o sexuálnom živote alebo sexuálnej orientácii.

V kontexte GDPR a DPIA ide o pravdepodobnosť a závažnosť potenciálnej ujmy pre dotknuté osoby v dôsledku spracúvania osobných údajov. Ujma môže mať fyzickú, materiálnu alebo nemateriálnu povahu – napríklad diskriminácia, strata zamestnania, finančná strata, poškodenie dobrej povesti alebo porušenie dôvernosti.

Riziko, ktoré zostáva po zavedení všetkých plánovaných technických a organizačných opatrení. Ak je reziduálne riziko vysoké, prevádzkovateľ musí pred začatím spracúvania konzultovať s dozorným orgánom (predchádzajúca konzultácia podľa čl. 36 GDPR). Cieľom DPIA je dostať reziduálne riziko na prijateľnú úroveň.

Technické alebo organizačné opatrenie zavedené na zníženie pravdepodobnosti alebo závažnosti rizika pre dotknuté osoby. Medzi technické opatrenia patrí šifrovanie, pseudonymizácia, kontrola prístupu a zálohovanie. Organizačné opatrenia zahŕňajú politiky, školenia, zmluvy, procesy a interné audity.

Nezávislý verejný orgán zodpovedný za monitorovanie uplatňovania GDPR na území príslušného členského štátu. Na Slovensku je dozorným orgánom Úrad na ochranu osobných údajov Slovenskej republiky (UOOU SR) so sídlom v Bratislave. Dozorný orgán môže vydávať usmernenia, vykonávať kontroly a ukladať pokuty.

Osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorej úlohou je informovať a radiť v oblasti ochrany osobných údajov, monitorovať súlad s GDPR a spolupracovať s dozorným orgánom. DPO musí byť zapojená do procesu DPIA a musí dostávať nevyhnutné zdroje na plnenie svojich úloh. Určenie DPO je povinné pre orgány verejnej moci a niektoré organizácie so špecifickými spracúvaniami.

Spracúvanie osobných údajov takým spôsobom, že ich už nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, pričom tieto dodatočné informácie sú uchovávané osobitne a podliehajú technickým a organizačným opatreniam. Pseudonymizované údaje sú stále osobnými údajmi. Pseudonymizácia je jedným z odporúčaných opatrení pri DPIA.

Povinnosť prevádzkovateľa konzultovať s dozorným orgánom pred začatím spracúvania, ak DPIA ukázala, že spracúvanie by viedlo k vysokému riziku, ktoré prevádzkovateľ nemohol primerane zmierniť. Dozorný orgán má na vydanie stanoviska 8 týždňov (pri komplexných prípadoch až 14 týždňov).