Za měsíc a půl začnou platit nová pravidla pro posuzování vlivu připravované legislativy (zákonů i podzákonných předpisů) na ochranu osobních údajů. Zavádí jasnou strukturu tohoto posouzení, která by měla pomoci přesněji popsat a vysvětlit účel, přiměřenost a nezbytnost navrhovaného řešení. Úřad pro ochranu osobních údajů, který si nedávno postěžoval i na laxní přístup ministerstva zdravotnictví v této oblasti, o tom včera informoval v tiskové zprávě.

Pravidla pro zpracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment / DPIA) mění novela legislativních pravidel vlády, která začne platit od 1. dubna. Ta nově zavádí přímo do závazných pravidel pro přípravu zákonů, vládních nařízení a vyhlášek povinnost zpracovat DPIA podle jasně dané struktury.

Úřad na ochranu osobních údajů (ÚOOÚ) v této souvislosti upozorňuje, že tato „legislativní DPIA“ nahrazuje DPIA podle obecného nařízení o ochraně osobních údajů (GDPR), kterou jinak musí navrhovatel nové legislativy zpracovávat. „Pro správce osobních údajů tak dochází k výraznému zjednodušení provádění DPIA,“ tvrdí Úřad.

Nová struktura pro zpracování DPIA by měla zahrnout vysvětlení účelu navrhovaného opatření, popis návaznosti na stávající i připravované zpracování osobních údajů, posouzení z hlediska nezbytnosti a přiměřenosti, posouzení rizik pro práva a svobody fyzických osob a stanovení možných opatření k jejich snížení.

O zpřesnění legislativních pravidel požádal přímo ÚOOÚ. Ten si nedávno ve svých připomínkách k návrhu novely zákona o zdravotních službách postěžoval i na laxní přístup ministerstva zdravotnictví k posuzování dopadů na ochranu osobních údajů. „ÚOOÚ doporučuje, aby místo proklamací typu: „Maximální důraz na ochranu osobních údajů“ předkladatel sloučil všechna fakta k ochraně osobních údajů,“ napsal v lednu Úřad rezortu. Prakticky stejnou výhradu Úřad vznášel i v souvislosti se změnou pravidel pro elektronickou evidenci očkování na podzim loňského roku.

Mohlo by vás zajímat

-sed-