Koncepce rizika v GDPR

GDPR zavádí koncepci rizika při posuzování toho jaké má zvolit technické a organizační opatření k ochraně osobních údajů. V rámci tohoto konceptu rozsah a účinnost technických a organizačních opatření závisí na zohlednění takových faktorů jako je stav techniky, náklady na provedení, povaha, rozsah, kontext a účelům zpracování, pravděpodobnost a závažnost rizik pro práva a svobody fyzických osob, jež s sebou zpracování nese. Z toho je zřejmé, že rozsah a kvalita těchto opatření může být a zřejmě i bude různá s ohledem na zpracování osobních údajů, které správce provádí za rozdílnými účely. Za účelem ochrany osobních údajů klientů bank žádajícím o úvěr bude třeba zavést kvalitně vyšší ochranu než za účelem evidence faktur. Nejsou tak pravdivé informace, které se občas objevují na internetu, že bude třeba veškerou emailovou komunikaci šifrovat. Opravdu záleží na posouzení rizika, jež může pro subjekty údajů mít zpracování jejich osobních údajů.

Předpokladem posouzení rizika při zpracování osobních údajů je, že si správce roztřídí (provede audit) jednotlivých agend, při kterých zpracovává osobní údaje podle účelů zpracování (např. prostřednictvím Klíče k ochraně osobních údajů. U těchto účelů zpracování je třeba vyhodnotit, jaký je právní důvod zpracování, a k jednotlivých účelům zpracování rozmyslet jaký bude rozsah zpracovávaných osobních údajů, doba zpracování. Teprve pak je možno přistoupit i k volbě prostředků zpracování a posoudit rizika, která bude zpracování přinášet a v tomto kontextu zvolit náležitá technická a organizační opatření.

Ostatně samo pojmenování a roztřídění jednotlivých agend podle účelu zpracování a přiřazení nejrůznějších atributů zpracování osobních údajů je samo již jakýmsi technickým a organizačním opatřením, protože dokumentuje onu záměrnost zpracování osobních údajů. Bez roztřídění jednotlivých agend podle účelů zpracování v zásadě nelze jakékoli riziko zpracování vůbec posoudit.