Stanovisko č. 2/2018. k návrhu seznamu příslušného dozorového úřadu Belgie, který obsahuje

Podobné dokumenty
Stanovisko č. 4/2018. k návrhu seznamu příslušného dozorového úřadu České republiky, který obsahuje

Stanovisko č. 5/2018. k návrhu seznamu příslušného dozorového úřadu Německa, který obsahuje

Stanovisko č. 3/2018. k návrhu seznamu příslušného dozorového úřadu Bulharska, který obsahuje

Přijato dne 4. prosince Přijato

Rada Evropské unie Brusel 3. května 2018 (OR. cs) Jeppe TRANHOLM-MIKKELSEN, generální tajemník Rady Evropské unie

Veterinární předpisy pro obchod se psy, kočkami a fretkami ***I

Přijato dne 12. února přijato 1

Delegace naleznou v příloze dokument COM(2018) 249 final - ANNEXES 1 to 2.

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 127 odst. 6 a článek 132 této smlouvy,

Stanovisko č. 3/2019 k otázkám a odpovědím týkajícím se vzájemného působení nařízení o klinických hodnoceních a obecného nařízení o ochraně osobních

Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

Návrh ROZHODNUTÍ RADY. o uzavření Dohody mezi Evropskou unií a Svatou Lucií o zrušení vízové povinnosti pro krátkodobé pobyty

Interinstitucionální spis: 2015/0065 (CNS)

ROZHODNUTÍ KOMISE. ze dne 30. června podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně osobních údajů v Argentině

L 320/8 Úřední věstník Evropské unie

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

2. Evropský parlament a Evropský hospodářský a sociální výbor vydaly svá stanoviska dne 24. dubna 2009 a dne 14. května 2009.

Návrh ROZHODNUTÍ RADY

ROZHODNUTÍ EVROPSKÉ CENTRÁLNÍ BANKY (EU)

Návrh SMĚRNICE RADY,

EIOPA(BoS(13/164 CS. Obecné pokyny k vyřizování stížností zprostředkovateli pojištění

Úřední věstník Evropské unie L 201/21

***I POSTOJ EVROPSKÉHO PARLAMENTU

RADA EVROPSKÉ UNIE. Brusel 17. ledna 2012 (OR. en) 5403/12 ENV 17 ENT 7

Výbor pro mezinárodní obchod

KOMISE EVROPSKÝCH SPOLEČENSTVÍ. Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

Návrh SMĚRNICE RADY,

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU)

1992L0080 CS

Obecné pokyny. upřesňující podmínky pro vnitroskupinovou finanční podporu podle článku 23 směrnice 2014/59/EU EBA/GL/2015/

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

ODŮVODNĚNÉ STANOVISKO VNITROSTÁTNÍHO PARLAMENTU K SUBSIDIARITĚ

ROZHODNUTÍ EVROPSKÉ CENTRÁLNÍ BANKY (EU)

ROZHODNUTÍ. s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 53 odst. 1, články 62 a 114 ve spojení s čl. 218 odst.

Návrh ROZHODNUTÍ RADY

Rada Evropské unie Brusel 9. července 2015 (OR. en) Jeppe TRANHOLM-MIKKELSEN, generální tajemník Rady Evropské unie

Delegace naleznou v příloze dokument COM(2017) 783 final.

PŘÍLOHA ROZHODNUTÍ SMÍŠENÉHO VÝBORU EHP Č.../2015 ZE DNE..., kterým se mění příloha XX (Životní prostředí) Dohody o EHP, návrhu rozhodnutí Rady

Návrh ROZHODNUTÍ RADY

Návrh ROZHODNUTÍ RADY. o uzavření Dohody mezi Evropskou unií a Královstvím Tonga o zrušení vízové povinnosti pro krátkodobé pobyty

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU)

ROZHODNUTÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) / ze dne ,

Rada Evropské unie Brusel 10. června 2016 (OR. en)

Obecné pokyny Spolupráce mezi orgány podle článků 17 a 23 nařízení (EU) č. 909/2014

PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU)

Příloha k Průvodci pro přípravu obcí na požadavky GDPR Právo na informace o zpracování údajů

STANOVISKO EVROPSKÉ CENTRÁLNÍ BANKY. ze dne 3. prosince 2004

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) č. /.. ze dne ,

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č. 182/2011

13/sv. 15 CS. Úřední věstník Evropské unie ÚŘEDNÍ VĚSTNÍK EVROPSKÝCH SPOLEČENSTVÍ L 35/1

ROZHODNUTÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) / ze dne

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) /... ze dne ,

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

(2014/434/EU) (2) Úzká spolupráce bude navázána rozhodnutím přijatým ECB, pokud jsou splněny podmínky vymezené v článku 7 nařízení (EU) č. 1024/2013.

EVROPSKÁ RADA PRO SYSTÉMOVÁ RIZIKA

PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU)

(Text s významem pro EHP)

Rada Evropské unie Brusel 23. června 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, generální tajemník Rady Evropské unie

OBECNÉ ZÁSADY EVROPSKÉ CENTRÁLNÍ BANKY (EU)

Nařízení (ES) č. 1239/95 se mění takto: Oddíl 1. Žádosti o nucenou licenci. a) označení žadatele a odpůrce držitele dané odrůdy jako účastníků řízení;

Návrh ROZHODNUTÍ RADY

Návrh ROZHODNUTÍ RADY

(Text s významem pro EHP)

KOMISE EVROPSKÝCH SPOLEČENSTVÍ. Návrh ROZHODNUTÍ RADY. o uzavření Protokolu o právu rozhodném pro vyživovací povinnosti Evropským společenstvím

ROZHODNUTÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) / ze dne

Rada Evropské unie Brusel 9. března 2015 (OR. en) Uwe CORSEPIUS, generální tajemník Rady Evropské unie

Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ. Oddělení R1 Registrace a transparentnost, GŘ pro hospodářskou soutěž

EVROPSKÁ UNIE EVROPSKÝ PARLAMENT

AKT RADY. ze dne 23. července 1996

SPISOVÁ SLUŽBA A GDPR

Podpora pro rozvoj venkova z Evropského zemědělského fondu pro rozvoj venkova ***I

Nicola Danti Schvalování zemědělských a lesnických vozidel a dozor nad trhem s těmito vozidly (COM(2018)0289 C8-0183/ /0142(COD))

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) č. /.. ze dne

Obecné pokyny (konečné znění)

Návrh ROZHODNUTÍ RADY. o uplatňování ustanovení schengenského acquis v oblasti Schengenského informačního systému v Chorvatské republice

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

PŘÍLOHY PROVÁDĚCÍHO NAŘÍZENÍ KOMISE,

KOMISE EVROPSKÝCH SPOLEČENSTVÍ. Návrh NAŘÍZENÍ RADY

Obecné nařízení o ochraně osobních údajů

ROZHODNUTÍ. (5) Přenesení rozhodovacích pravomocí by mělo být omezené a přiměřené, přičemž rozsah přenesení pravomocí by měl být jednoznačně vymezen.

ECB-PUBLIC DOPORUČENÍ EVROPSKÉ CENTRÁLNÍ BANKY. ze dne 4. dubna 2017

ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

Přípustná hladina akustického tlaku a výfukový systém motorových vozidel (kodifikované znění) ***I

ROZHODNUTÍ O PROVEDENÍ NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (ES) Č. 1049/2001 O PŘÍSTUPU VEŘEJNOSTI K DOKUMENTŮM EVROPSKÉHO PARLAMENTU, RADY A KOMISE

Obecné pokyny k parametrům specifickým pro pojišťovny nebo zajišťovny

ROZHODNUTÍ KOMISE (EU)

GDPR obecně Svaz měst a obcí

POŽADAVKY PLYNOUCÍ ZE SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2014/30/EU

Zásady ochrany osobních údajů pro společnost KEMPCHEN s.r.o.

SPRÁVNÍ KOMISE PRO KOORDINACI SYSTÉMŮ SOCIÁLNÍHO ZABEZPEČENÍ

Rada Evropské unie Brusel 21. března 2017 (OR. en)

PŘIJATÉ TEXTY. P8_TA(2017)0471 Povinnosti v oblasti daně z přidané hodnoty při poskytování služeb a prodeji zboží na dálku *

OSOBNÍ ÚDAJE GDPR ROK POTÉ

10116/14 mp/eh/bl 1 DG D 2B

***II NÁVRH DOPORUČENÍ PRO DRUHÉ ČTENÍ

Návrh ROZHODNUTÍ RADY

Transkript:

Stanovisko sboru (podle článku 64) Stanovisko č. 2/2018 k návrhu seznamu příslušného dozorového úřadu Belgie, který obsahuje operace zpracování podléhající požadavku na posouzení vlivu na ochranu osobních údajů (čl. 35 odst. 4 obecného nařízení o ochraně osobních údajů) Přijato dne 25. září 2018

Obsah 1. Shrnutí skutečností...4 2. Posouzení...5 2.1 Souhrnné odůvodnění Evropského sboru pro ochranu osobních údajů týkající se předloženého seznamu...5 2.2 Uplatnění mechanismu jednotnosti na návrh seznamu...6 2.3 Analýza návrhu seznamu...6 Odkaz na pokyny...6 Biometrické údaje...6 Genetické údaje...6 Údaje shromážděné prostřednictvím třetích stran (článek 19 nařízení GDPR)...7 Monitorování zaměstnanců...7 Zpracování údajů prováděné implantací...7 Zpracování za použití nových či inovativních technologií...7 3. Závěry a doporučení...8 4. Závěrečné poznámky...8 2

Evropský sbor pro ochranu osobních údajů, s ohledem na článek 63, čl. 64 odst. 1 písm. a) a odst. 3 až 8 a čl. 35 odst. 1, 3, 4 a 6 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen nařízení GDPR ), s ohledem na Dohodu o EHP, a zejména na přílohu XI a protokol 37 k této dohodě ve znění rozhodnutí Smíšeného výboru EHP č. 154/2018 ze dne 6. července 2018, s ohledem na články 10 a 22 svého jednacího řádu ze dne 25. května 2018, vzhledem k těmto důvodům: (1) Hlavní úlohou sboru je zajistit jednotné uplatňování nařízení 2016/679 (dále jen nařízení GDPR ) v celém Evropském hospodářském prostoru. V souladu s čl. 64 odst. 1 nařízení GDPR musí sbor vydat stanovisko, hodlá-li některý dozorový úřad přijmout seznam operací zpracování, u nichž se požaduje posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4 nařízení GDPR. Cílem tohoto stanoviska je tedy vytvořit harmonizovaný přístup ke zpracování, které má přeshraniční charakter nebo které může ovlivnit volný pohyb osobních údajů nebo fyzických osob v Evropské unii. Nařízení GDPR sice nestanoví jednotný seznam, ale jednotnost podporuje. Sbor se ve svých stanoviscích snaží tohoto cíle dosáhnout tím, že po dozorových úřadech požaduje, aby, za prvé, do svých seznamů zahrnuly určité druhy zpracování, a za druhé, aby z nich vyřadily některá kritéria, o nichž se sbor domnívá, že nemusí vytvářet vysoká rizika pro subjekty údajů, a v neposlední řadě aby používaly určitá kritéria harmonizovaným způsobem. (2) Příslušné dozorové úřady sestaví v souladu s čl. 35 odst. 4 a 6 nařízení GDPR seznamy druhů operací zpracování, u nichž se požaduje posouzení vlivu na ochranu osobních údajů. V případech, kdy tyto seznamy zahrnují činnosti zpracování související s nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich chování v několika členských státech, nebo kdy mohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie, však úřady použijí mechanismus jednotnosti uvedený v článku 63. (3) To, že návrhy seznamů příslušných dozorových úřadů podléhají mechanismu jednotnosti, ovšem neznamená, že by tyto seznamy měly být totožné. Příslušné dozorové úřady mají prostor pro uvážení vnitrostátních nebo regionálních souvislostí a měly by zohledňovat své místní právní předpisy. Cílem posouzení/stanoviska Evropského sboru pro ochranu údajů není dosáhnout jednotného seznamu EU, ale spíše zabránit významnému nesouladu, který by mohl ovlivnit rovnost ochrany subjektů údajů. (4) Provedení posouzení vlivu na ochranu osobních údajů je podle čl. 35 odst. 1 nařízení GDPR povinné pro správce pouze tehdy, pokud je pravděpodobné, že zpracování bude mít [...] za následek vysoké riziko pro práva a svobody fyzických osob. Ustanovení čl. 35 odst. 3 nařízení 3

GDPR dokládá případy, kdy je pravděpodobné, že takové vysoké riziko vznikne. Tento seznam není vyčerpávající. Pracovní skupina zřízená podle článku 29 ve svých Pokynech pro posouzení vlivu na ochranu osobních údajů 1, jak je schválil Evropský sbor pro ochranu údajů 2, objasnila kritéria, která mohou pomoci určit, kdy se u operací zpracování požaduje posouzení vlivu na ochranu osobních údajů. V pokynech č. WP 248 této pracovní skupiny se uvádí, že ve většině případů může správce údajů zpracování, které splňuje dvě kritéria, považovat za zpracování, pro něž se vyžaduje posouzení vlivu na ochranu osobních údajů; v některých případech však správce údajů může mít za to, že posouzení vlivu na ochranu osobních údajů vyžaduje i zpracování, které splňuje jen jedno z těchto kritérií. (5) Seznamy vypracované příslušnými dozorovými úřady podporují stejný cíl, kterým je určit operace zpracování, které pravděpodobně budou mít za následek vysoké riziko, a operace zpracování, u nichž se proto požaduje posouzení vlivu na ochranu osobních údajů. Při posuzování toho, zda návrhy seznamů příslušných dozorových úřadů mají dopad na jednotné uplatňování nařízení GDPR, by proto měla být použita kritéria stanovená v pokynech pracovní skupiny zřízené podle článku 29. (6) Evropskému sboru pro ochranu údajů již předložilo návrh seznamu 22 příslušných dozorových úřadů. Celkové posouzení těchto návrhů seznamů podporuje cíl, kterým je jednotné uplatňování nařízení GDPR, třebaže se tím složitost dané problematiky zvyšuje. (7) Stanovisko Evropského sboru pro ochranu osobních údajů se přijímá postupem podle čl. 64 odst. 3 nařízení GDPR ve spojení s čl. 10 odst. 2 jednacího řádu Evropského sboru pro ochranu osobních údajů, a to do osmi týdnů od prvního pracovního dne poté, co předseda a příslušný dozorový úřad rozhodli, že spis je úplný. Rozhodnutím předsedy může být tato lhůta s ohledem na složitost dané problematiky prodloužena o dalších šest týdnů. PŘIJAL TOTO STANOVISKO: 1. Shrnutí skutečností Úřad Autorité de la protection des données (APD-GBA) (dále jen belgický dozorový úřad ) předložil Evropskému sboru pro ochranu údajů svůj návrh seznamu. Rozhodnutí o úplnosti spisu bylo přijato dne 26. června 2018. Lhůta pro přijetí stanoviska byla s ohledem na složitost dané problematiky prodloužena do 25. září, jelikož návrhy seznamů předložilo současně 22 příslušných dozorových úřadů, a bylo tudíž nezbytné provést celkové posouzení. 1 Pracovní skupina zřízená podle článku 29, Pokyny pro posouzení vlivu na ochranu údajů a stanovení, zda je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko pro účely nařízení 2016/679 (WP 248 rev. 1). 2 Evropský sbor pro ochranu osobních údajů, schválení č. 1/2018. 4

2. Posouzení 2.1 Souhrnné odůvodnění Evropského sboru pro ochranu osobních údajů týkající se předloženého seznamu Seznamy předložené Evropskému sboru pro ochranu osobních údajů byly vykládány v tom smyslu, že dále upřesňují ustanovení čl. 35 odst. 1, které má v každém případě přednost. Žádný seznam tedy nemůže být vyčerpávající. V souladu s čl. 35 odst. 10 nařízení GDPR se sbor domnívá, že pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím právního základu, povinnost provést posouzení vlivu na ochranu osobních údajů v souladu s ustanovením čl. 35 odst. 1 až 7 nařízení GDPR se nepoužije, ledaže by daný členský stát považoval toto provedení za nezbytné. Dále pokud sbor u určité kategorie zpracování požaduje posouzení vlivu na ochranu osobních údajů a vnitrostátní právní předpisy již vyžadují rovnocenné opatření, připojí belgický dozorový úřad odkaz na toto opatření. Toto stanovisko se nezabývá položkami předloženými belgickým dozorovým úřadem, o nichž se usuzuje, že nespadají do oblasti působnosti čl. 35 odst. 6 nařízení GDPR. Týká se to položek, které nesouvisejí s nabídkou zboží či služeb subjektům údajů v několika členských státech ani s monitorováním jejich chování v několika členských státech a které navíc pravděpodobně nemohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie. To platí zejména v případě položek souvisejících s vnitrostátními právními předpisy, především je-li ve vnitrostátních právních předpisech stanovena povinnost provést posouzení vlivu na ochranu osobních údajů. Dále se má za to, že mimo oblast působnosti jsou veškeré operace zpracování, které se týkají vymáhání práva, neboť nespadají do oblasti působnosti nařízení GDPR. Sbor konstatoval, že několik dozorových úřadů zahrnulo do svých seznamů některé druhy zpracování, které jsou nutně lokálním zpracováním. Jelikož se čl. 35 odst. 6 týká pouze přeshraničního zpracování a zpracování, které může ovlivnit volný pohyb osobních údajů a subjektů údajů, sbor se k tomuto lokálnímu zpracování nevyjadřuje. Cílem stanoviska je vymezit jednotný základ operací zpracování, které se na seznamech poskytnutých dozorovými úřady opakují. To znamená, že u omezeného počtu druhů operací zpracování, které budou vymezeny harmonizovaným způsobem, budou všechny dozorové úřady požadovat, aby bylo provedeno posouzení vlivu na ochranu osobních údajů, a v zájmu jednotnosti sbor doporučí dozorovým úřadům tyto seznamy odpovídajícím způsobem změnit. Pokud se stanovisko k posouzení vlivu na ochranu osobních údajů u předložených položek na seznamu nevyjadřuje, znamená to, že sbor nepožaduje, aby belgický dozorový úřad přijal další kroky. 5

V neposlední řadě sbor připomíná, že pro správce a zpracovatele údajů je zásadní transparentnost. Sbor se domnívá, že ke zvýšení transparentnosti by se u každého druhu zpracování mělo v zájmu objasnění položek uvedených na seznamu výslovně odkazovat na příslušná kritéria stanovená v pokynech. Sbor se proto domnívá, že by mohlo být doplněno vysvětlení, která kritéria belgický dozorový úřad při sestavování seznamu zohlednil. 2.2 Uplatnění mechanismu jednotnosti na návrh seznamu Návrh seznamu předložený belgickým dozorovým úřadem se týká nabídky zboží nebo služeb subjektům údajů, monitorování jejich chování v několika členských státech a/nebo může výrazně ovlivnit volný pohyb osobních údajů v rámci Unie, zejména proto, že operace zpracování uvedené v předloženém návrhu seznamu se neomezují na subjekty údajů v této zemi. 2.3 Analýza návrhu seznamu Vzhledem k tomu, že: a. čl. 35 odst. 1 nařízení GDPR požaduje posouzení vlivu na ochranu osobních údajů, pokud je pravděpodobné, že daná činnost zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, a b. čl. 35 odst. 3 nařízení GDPR uvádí demonstrativní seznam druhů zpracování, u nichž se požaduje posouzení vlivu na ochranu osobních údajů, sbor se domnívá, že: ODKAZ NA POKYNY Sbor se domnívá, že analýza provedená v pokynech č. WP 248 pracovní skupiny zřízené podle článku 29 je klíčovým prvkem pro zajištění jednotnosti v celé Unii. Sbor proto jednotlivé dozorové úřady žádá, aby k dokumentu obsahujícímu seznam připojily prohlášení, v němž se objasňuje, že jejich seznam je založen na těchto pokynech a že tyto pokyny doplňuje a dále specifikuje. Vzhledem k tomu, že dokument belgického dozorového úřadu takové prohlášení neobsahuje, sbor tomuto úřadu doporučuje, aby dokument odpovídajícím způsobem změnil. BIOMETRICKÉ ÚDAJE Seznam, který belgický dozorový úřad předložil sboru k vydání stanoviska, předpokládá, že u zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby ve spojení s alespoň jedním dalším kritériem se požaduje posouzení vlivu na ochranu osobních údajů. Sbor uznává, že v tomto ohledu je seznam v souladu s cílem jednotnosti. GENETICKÉ ÚDAJE Seznam, který belgický dozorový úřad předložil sboru k vydání stanoviska, předpokládá, že u zpracování genetických údajů ve spojení s alespoň jedním dalším kritériem se požaduje posouzení vlivu na ochranu osobních údajů. Sbor se domnívá, že zpracování genetických údajů samo o sobě nemusí nutně představovat vysoké riziko. U zpracování genetických údajů ve spojení s alespoň jedním dalším kritériem však musí být provedeno posouzení vlivu 6

na ochranu osobních údajů. Sbor bere na vědomí, že toto kritérium bylo na seznam belgického dozorového úřadu zahrnuto. ÚDAJE SHROMÁŽDĚNÉ PROSTŘEDNICTVÍM TŘETÍCH STRAN (ČLÁNEK 19 NAŘÍZENÍ GDPR) Sbor se domnívá, že druhy činností zpracování, které by mohly subjekty údajů zbavit jejich práv, představují ve spojení s alespoň jedním dalším kritériem vysoké riziko. Sbor dále zastává názor, že posouzení vlivu na ochranu osobních údajů se u činnosti zpracování prováděné správcem podle článku 19 nařízení GDPR, u níž by se ukázalo, že informování příjemců údajů není možné nebo vyžaduje nepřiměřené úsilí, musí být provedeno pouze v případě, že se na toto zpracování vztahuje alespoň jedno další kritérium. V seznamu, který belgický dozorový úřad předložil sboru k vydání stanoviska, se uvádí, že se na tento druh zpracování ve spojení s alespoň jedním dalším kritériem vztahuje povinnost provést posouzení vlivu na ochranu osobních údajů. Sbor bere na vědomí, že toto kritérium bylo na seznam zahrnuto. MONITOROVÁNÍ ZAMĚSTNANCŮ Sbor se domnívá, že u zpracování údajů z monitorování zaměstnanců, které splňuje v pokynech uvedená kritéria zranitelných subjektů údajů a systematického monitorování, by vzhledem k jeho specifické povaze mohlo být nutné posouzení vlivu na ochranu osobních údajů. Vzhledem k tomu, že seznam, který belgický dozorový úřad předložil sboru k vydání stanoviska, již předpokládá, že tento druh zpracování vyžaduje posouzení vlivu na ochranu osobních údajů, sbor pouze doporučuje zahrnout výslovný odkaz na příslušná dvě kritéria uvedená v pokynech č. WP 248 pracovní skupiny zřízené podle článku 29. Sbor je dále toho názoru, že při definování konceptu systematického zpracovávání údajů zaměstnanců zůstávají v platnosti pokyny č. WP 249 pracovní skupiny zřízené podle článku 29. ZPRACOVÁNÍ ÚDAJŮ PROVÁDĚNÉ IMPLANTACÍ Sbor se domnívá, že zpracování jiných než zdravotních údajů prováděné pomocí implantace nevyžaduje vždy posouzení vlivu na ochranu osobních údajů. Seznam, který belgický dozorový úřad předložil sboru k vydání stanoviska, v současné době neobjasňuje, že se má u zpracování zdravotních údajů pomocí implantace provést posouzení vlivu na ochranu osobních údajů. Sbor tedy belgický dozorový úřad žádá, aby svůj seznam odpovídajícím způsobem změnil tak, že uvede, zda posouzení vlivu na ochranu osobních údajů musí být vždy provedeno v případě, že jsou pomocí implantace zpracovávány zdravotní údaje. ZPRACOVÁNÍ ZA POUŽITÍ NOVÝCH ČI INOVATIVNÍCH TECHNOLOGIÍ Seznam, který belgický dozorový úřad předložil sboru k vydání stanoviska, předpokládá, že zpracování osobních údajů pomocí inovativních technologií ve spojení s alespoň jedním dalším kritériem vyžaduje posouzení vlivu na ochranu osobních údajů. Sbor bere na vědomí, že toto kritérium bylo na seznam zahrnuto. 7

3. Závěry a doporučení Návrh seznamu belgického dozorového úřadu může vést k nejednotnému uplatňování požadavku na posouzení vlivu na ochranu osobních údajů a je nutné v něm provést tyto změny: Pokud jde o odkaz na pokyny: sbor žádá belgický dozorový úřad, aby svůj dokument odpovídajícím způsobem změnil. Pokud jde o monitorování zaměstnanců: sbor pouze doporučuje zahrnout výslovný odkaz na příslušná dvě kritéria uvedená v pokynech č. WP 248 pracovní skupiny zřízené podle článku 29. Pokud jde o zpracování prováděné implantací: sbor žádá belgický dozorový úřad, aby svůj seznam změnil tak, že uvede, že posouzení vlivu na ochranu osobních údajů musí být provedeno pouze v případě, že jsou pomocí implantace zpracovávány zdravotní údaje. 4. Závěrečné poznámky Toto stanovisko je určeno úřadu Autorité de la protection des données (APD -GBA) (belgickému dozorovému úřadu) a bude zveřejněno v souladu s čl. 64 odst. 5 písm. b) nařízení GDPR. Podle čl. 64 odst. 7 a 8 nařízení GDPR dozorový úřad do dvou týdnů po obdržení stanoviska v elektronické formě sdělí předsedovi sboru, zda svůj návrh seznamu změní, nebo zachová. Ve stejné lhůtě předloží pozměněný návrh seznamu nebo v případě, že nemá v úmyslu se stanoviskem sboru řídit, ať již zcela nebo částečně, uvede relevantní důvody, které jej k tomu vedou. Za Evropský sbor pro ochranu osobních údajů předsedkyně (Andrea Jelinek) 8

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář