Otázka: Je potrebné, aby sme v dokumentácii uvádzali aj informáciu o tom, že nemáme povinnosť vykonať posúdenie vplyvu na ochranu údajov?
Odpoveď: Posúdenie vplyvu na ochranu údajov musí prevádzkovateľ zdokumentovať vždy vtedy, keď spracúvanie osobných údajov, ktoré vykonáva, pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Venuje sa mu čl. 35 všeobecného nariadenia, kde v jeho odseku 3 nájdeme aj príklady, kedy sa posúdenie vyžaduje:
- keď vo veľkom rozsahu prevádzkovateľ spracúva osobné údaje týkajúce sa zdravotného stavu
- keď vo veľkom rozsahu kamerami monitoruje priestory prístupné verejnosti a pod.
Okrem toho Úrad na ochranu osobných údajov zostavil a zverejnil zoznam operácií spracúvania, ktoré taktiež podliehajú povinnému posúdeniu vplyvu.
Hovoríme tak o situáciách v spracúvaní, kedy prevádzkovateľ musí posúdenie vplyvu vykonať. Aby však zistil, či vykonáva (alebo plánuje vykonávať) vysoko rizikové spracovateľské operácie, ktoré posúdeniu vplyvu podliehajú, vždy musí vyhodnotiť isté kritéria. Svoje závery, v súlade so zásadou zodpovednosti podľa čl. 5 ods. 2, zaznamená.
Vo vašej dokumentácii si môžete vytvoriť jednoduchú tabuľku, kde si v riadkoch uvediete hodnotené kritéria, pričom sa môžete inšpirovať napríklad: …