Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
★ Akční a slevové balíčkyPRINCE2ITILScrumDotace 50.000 KčVíce
> > Proč je důležitá DPIA, aneb poučení z případu International Card Services B.V

Proč je důležitá DPIA, aneb poučení z případu International Card Services B.V

  • Datum: 11.02.2024
  • Autor: Michal Orviský

Posouzení vlivu na ochranu osobních údajů, DPIA, je jedním ze základních požadavků GDPR. Jak to dopadá, když se tato povinnost nesplní? Často špatně. I pokutou.

Společnost International Card Services B.V. (ICS) dostala od nizozemské úřadu pro ochranu dat pokutu 150.000 EUR za porušení obecného nařízení o ochraně osobních údajů (GDPR). Klíčovým pochybením bylo, že společnost neprovedla posouzení vlivu na ochranu osobních údajů (DPIA) a dostatečně nezajistila ochranu osobních údajů při zavádění nového procesu pro identifikaci a kontrolu zákazníků.

Tento případ opět poukazuje na význam systematických opatření pro ochranu dat a nabízí cenné lekce pro podniky, které se snaží pohybovat v komplexním prostředí souladu s GDPR.


Pokuta za porušení čl. 35 GDPR

Nizozemská společnost ICS je významným hráčem ve finančním sektoru, který vydává vlastní kreditní karty a zajišťuje další služby na finančním trhu ve spolupráci s obchodníky, bankami a zájmovými skupinami. Na začátku roku 2024 byla potrestána za to, že neprovedla dostatečné hodnocení dopadu na ochranu údajů (DPIA) pro jí prováděná riziková zpracování osobních dat. GDPR zdůrazňuje význam DPIA, zejména pokud zpracovatelské činnosti představují vysoké riziko pro soukromí jednotlivců.


Proč je důležité hodnotit dopady zpracování na soukromí?

DPIA slouží k posouzení a minimalizaci rizik, jež může způsobit zpracování osobních údajů pro jednotlivce. 

Jak konkrétně DPIA pomůže zajistit ochranu práv dotčených osob?

  • Identifikace rizik: V rámci DPIA správce identifikuje a hodnotí rizika spojená se zpracováním osobních údajů. To zahrnuje možná porušení zabezpečení, nedostatečnou ochrany soukromí, riziko diskriminace, zveřejnění důvěrných údajů a další aspekty, které by mohly negativně ovlivnit jednotlivce.

  • Preventivní opatření: Na základě zjištěných rizik lze v rámci DPIA navrhnout a implementovat preventivní opatření. To zahrnuje technická, organizační a právní opatření, která mají za cíl minimalizovat nežádoucí dopady na subjekty údajů.

  • Zajištění souladu s předpisy: Provedení DPIA je pro rizikovější zpracování přímo vyžadováno GDPR, jeho provedení přispěje k souladu i s mnoha dalšími právními předpisy v oblasti ochrany osobních údajů. Nedodržení této povinnosti může vést k sankcím, včetně udělení pokut.

  • Transparentnost: DPIA přispívá k transparentnosti zpracování vůči dotčeným osobám. Na základě DPIA je možné nastavit vhodný způsob, jak poskytnout subjektu údajů informace o zpracování údajů a souvisejících rizicích.

  • Důkazní materiál pro dozorové orgány: Dokumentovaná a aktualizovaná DPIA slouží jako důkazní materiál pro dozorové orgány, který pomáhá organizacím prokázat, že přistupují k ochraně osobních údajů vážně.

Povinnost provést posouzení dopadů (DPIA)

DPIA je potřebné provést vždy, když připravované zpracování osobních údajů zahrnuje:

  • Profilování dotčených osob.

  • Automatizované zpracování osobních údajů, jehož výstupem je rozhodnutí s právním účinkem na dotčenou osobu, např. posuzování bonity registry bankovních či nebankovních klientů, AML systémy ve finančním sektoru, systémy na omezení přístupu k hazardu apod.

  • Zpracování tzv. citlivých osobních údajů (např. rasa, zdravotní údaje, biometrické údaje, náboženské vyznání, členství v odborech, rodné číslo apod.) ve velkém rozsahu – přičemž není explicitně jasné, co se tím rozumí. Existují pouze určité výkladové pomůcky pro stanovení velkého rozsahu (např. počet dotčených osob v poměru k relevantní populaci, rozsah celkových údajů zahrnutých do zpracování, trvání zpracování, geografický rozsah aktivit).

  • Systematické monitorování veřejně přístupných míst ve velkém rozsahu, typicky využívání kamerových systémů v nákupních centrech, RFID čipové náramky v zábavních parcích a velkých rezortech, IMSI catchery nebo WIFI tracking využívaný v retailových provozovnách.

  • Monitorování zaměstnanců v práci, např. systematické sledování prohlížení, elektronické pošty, elektronická docházka apod.

  • Provádění systematických přeshraničních přenosů osobních dat do zemí mimo EU, resp. do zemí, o kterých nebylo rozhodnuto, že zajišťují stejnou úroveň ochrany osobních údajů dotčených osob.

  • Zpracování osobních údajů, které zahrnuje zranitelné skupiny lidí (děti, zaměstnanci, pacienti, zdravotně znevýhodnění apod.).

  • Využívání inovativních technologických a organizačních řešení, jako např. otisk prstu a rozpoznávání tváře pro zlepšení kontroly fyzického přístupu do určených objektů, příp. některé IoT technologie s vlivem na soukromí lidí, např. data z palubních navigací nebo chytrých televizorů.


Zajímá Vás, jak byla stanovena výše pokuty za porušení GDPR, či jaké preventivní kroky mohou podniky přijmout k zajištění souladu s GDPR? Celý článek naleznete na gdpr.cz

Štítky

Nejčtenější články

Štítky
Simulation (1)AI Act (4)Management (10)Data (3)BPMN (1)Program Manager (4)Compliance (24)ISO 27701 (1)ISO/IEC 27001 (2)Six Sigma (2)Whistleblowing (10)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (18)it4it (1)ePrivacy (11)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Axelos (6)AI (4)ISO (4)IT Security (5)Marketing (2)ESG (2)Lean (3)MoP (7)CMS (1)GDPR (58)Gamification (1)Byznys (1)TOGAF (6)ITIL (22)Agile (6)Risk Manager (1)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)P3O (7)MSP (9)Data Protection Officer (35)Porsche (1)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (3)Whistleblowing Officer (3)DORA (3)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (27)OHSAS (1)ZoKB (5)Dotace (2)Kybernetická bezpečnost (6)P3M3 (1)Business Simulation (4)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (1)DPO (6)AgileSHIFT (3)PMI (1)ISMS (16)NIS2 (7)IT (4)Pověřenec pro ochranu osobních údajů (38)IT Service (4)Soukromí (1)Grab@Pizza (1)Enterprise Architect (5)Business Analytik (1)Project Manager (15)ISO 22301 (1)Ochrana osobních údajů (10)Pokuta (1)eGovernment (1)Regulace (2)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)

Chcete získat dárek k narozeninám?

Portfolio

Hlavní nabídka

Certifikace

TAYLLORCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play