Posouzení vlivu na ochranu osobních údajů je druhým krokem, který kromě naplnění povinnosti takovéto posouzení zpracovat, umožňuje posoudit zpracování osobních údajů a plánovaná opatření z pohledu skutečných rizik.

Jedním z klíčových požadavků GDPR je provádět posouzení nezbytnosti a přiměřenosti operací zpracování osobních údajů z hlediska účelů a posouzení rizik pro práva a svobody subjektů údajů. GDPR přímo stanoví i odpovědnosti za takové posouzení v rámci organizace a předpokládá se, že se bude jednat o jednu z nejvíce kontrolovaných povinností.

V návaznosti na informace zjištěné pomocí Srovnávací analýzy provádíme toto hodnocení jako součást projektů a zpracováváme z něho záznam pro účely doložení kontrolním orgánům. Postup zpracování hodnocení obsahuje následující části:

  • zpracování formuláře pro Hodnocení rizik;
  • identifikace respondentů pro Hodnocení rizik;
  • provedení rozhovorů a provedení Hodnocení rizik na pracovištích klienta, přičemž
    • zjištění potřeby nakládání s osobními údaji je prováděno formou interview se zástupci jednotlivých provozních a dalších organizačních útvarů;
    • hodnocení rizik nakládání s osobními údaji je prováděno formou expertního posouzení účinnosti stávajících ochranných opatření;
    • hodnocení dopadu na soukromí subjektů údajů je zpracováno formou expertního posouzení stavu běžného zpracování i dopadů bezpečnostních incidentů a případných úniků osobních údajů;
  • zpracování záznamu z Hodnocení rizik nakládání s osobními údaji a dopadu na soukromí subjektů údajů a předání tohoto záznamu klientovi.