Posouzení dopadu oprávněného zájmu (LIA)


GDPR funguje na principu hodnocení rizika. To znamená, že v případě, kdy posuzujeme užívání jakýchkoliv osobních údajů, musíme se nutně zaobírat tématem rizika, které z takového zpracování pro nás a takového dotečného člověka vyplývá. Mezi jedno z insitucionalizovaných posuzování patří "Posouzení dopadu oprávněného zájmu", neboli LIA analýza (z anglického Legitimate Interest Assessment) a jde o specifický typ posouzení. Tuto analýzu se užíváte v situaci, kdy jako právní titul k užívání údajů využíváte "oprávněný zájem".







Pokud se rozhodnete spoléhat na užívání údajů z hlediska svého "oprávněného zájmu" přebíráte dodatečnou odpovědnost za ochranu práv a zájmů lidí. Pak jste povinni provést posouzení dopadu oprávněného zájmu.

Oprávněnými zájmy mohou být vaše vlastní zájmy nebo zájmy třetích stran. Mohou zahrnovat obchodní zájmy, individuální zájmy nebo i širší společenský prospěch. Tento postup krok za krokem použijte k zajištění toho, aby do nebylo zaváděno, co se stalo, proč se to stalo a jak byly subjekty údajů respektovány a chráněny v každé fázi cesty.


Co v takové analýze máte udělat?

1. Identifikujte zájem

Než něco zpracováte, musíte zodpovědět některé základní otázky:

  • Kdo má ze zpracování údajů prospěch?

  • Jaké jsou hlavní cíle?

  • Bude mít veřejnost ze zpracování údajů prospěch?

  • Jak budou lidé zpracováním údajů ovlivněni?

  • Uvádí nějaký právní předpis konkrétně činnost zpracování jako oprávněný? (např. jako česká legislativa ohledně nevyžádaných obchodních sdělení)

LIA by měla rovněž kvalifikovat význam zpracování. Řekněme například, že marketér chtěl poslat nový dopis s nabídkou úvěru na bydlení lidem, kteří splňují určitá úvěrová kritéria. Jedná se o časově omezenou nabídku zaslanou těm, kteří by mohli mít zájem přejít od pronájmu k vlastnictví. Pokud by takoví lidé nabídku půjčky neobdrželi, jaký by to mělo dopad na životy těch, kteří nabídku obdrželi? Přišli by o významnou příležitost, nebo je pravděpodobné, že by podobnou nabídku našli jinde?


2. Aplikujte test nezbytnosti

Oprávněný zájem, který jste identifikovali v kroku 1, musí být odůvodněn povahou a metodikou zpracování. Musíte určit, jak manipulace s daty bude blíže k dosažení cíli a zda existuje lepší způsob, jak dosáhnout cíle.


V našem příkladu nabídky půjček by marketér mohl dojít k závěru, že lidé na seznamu by nebyli schopni najít další půjčku za tak nízkou sazbu, což by ukazuje, že existuje oprávněný veřejný zájem pomáhat lidem zajistit dostupné bydlení.


Test nezbytnosti však může také odhalit, že je k dispozici méně rušivá možnost. Takže místo toho, aby marketér vyřaoval lidi prostřednictvím jejich úvěrových výsledků, mohl by k tomu přistupovat obecněji. Například odeslání oznámení všem na jejich mailing listu a vyžádání následného sledování, spíše než vyřakání nájemců.


3. Proveďte balanční test

Při provádění balančního testu analyzujete, zda-li dopad na subjekty údajů vážnější než dosažení vašich cílů. Musíte vzít v úvahu povahu vašeho vztahu se subjekty údajů, a to jak citlivé jsou údaje a zda by osoba očekávala, že údaje k takovému účelu použijete.


V případě nabídky úvěru na bydlení byste mohli namítnout, že mezi subjekty údajů a společností existuje nerovnováha v síle. Ti, kteří se nekvalifikují, jsou vydáni na milost několika tržním silám a mohou zoufale hledat výši sazby, která by jim mohla vyhovovat.


Nyní je čas ponořit se do zákonného základu pro zpracování a jaké záruky mohou být zavedeny, aby se minimalizovaly důsledky. Balanční testy jsou obzvláště důležité, pokud zpracováváte údaje o speciální kategorii (např. zdravotní informace, náboženské přesvědčení atd.) nebo osobní údaje nezletilých. Musíte mluvit o zranitelnostech subjektů v balančním testu a o tom, co by se stalo, kdybyste se rozhodli nezpracovat data.


4. Rozsah LIA

Některé LIA budou relativně jednoduché. Je to základní hodnocení, které končí nevyhnutelným zeleným světlem pro zpracování. Některé však budou vyžadovat větší úsilí, což může vést k úplnému posouzení dopadu na ochranu údajů (DPIA).


Je vždy nutno přistupovat k LIA odpovědně z hlediska toho, jaké skutečné zájmy analyzujeme, nikoliv přístup TAV ("tak, aby to vyšlo").

Dobrou zprávou je, že vše od obecného výzkumu až po poštovní seznamy může být oprávněným zájmem, takže možná nebudete tak omezeni v takovém rozsahu, v jakém si myslíte. Například byste mohli potenciálně využít svůj oprávněný zájem namísto výslovného souhlasu zákazníka pro přímý marketing stávajícím zákazníkům.


Nejdůležitější částí LIA je, že podrobně popisujete potenciální možnosti a realitujete taková opatření, která budou chránit zájmy lidí nejlépe.

Zavedená ochranná opatření

Pokud dojde ke sporu o oprávněnost vašeho zájmu, může vám správné ochranné opatření poskytnout větší jistotu ohledně vašeho postupu. Takže můžete okamžitě smazat data po použití nebo povolit šifrování v případě úspěšného hacknutí organizace. Pokud dokončujete DPIA, musíte uvést veškeré informace jako součást reportu. Pokud však provádíte základní LIA, měli byste stále počítat vždy s potenciálními úniky dat nebo narušením bezpečnosti.

Povaha compliance s GDPR

Posouzení dopadu oprávněného zájmu je často snazší, pokud máte k dispozici dobrou šablonu, která obsahuje požadované testy (tedy mít SOP - standardní operační proceduru). Při prokázování souladu s GDPR jde vždy o prokázání, že vaše organizace podniká skutečné kroky k ochraně údajů lidí.


Vzhledem k tomu, že pro LIA neexistují žádné standardní formáty, záleží na vás, jak analýzu pojmete, samozřejmě směrem, který vám odebere nejméně času a energie. Ideální je vytvořit a implementovat standardní proces, který poskytuje konkrétní podrobnosti týkající se logiky. A nakonec nezapomeňte tento dokument zkontrolovat a aktualizovat, kdykoli dojde ke změně zpracování. Takový dokument je neustále "živý" a jeho existence prokazuje plnění vaší odpovědnosti (tzv. accountability principle) z hlediska GDPR. Např. pokud jste se tedy rozhodli použít data shromážděná z nabídky úvěru na bydlení k využití na nabídku konsolidace dluhu, můžete LIA aktualizovat s důvody, proč tak učinit. Základní dokumenty dáme zde bezplatně k dispozici.


Stejně jako u původní LIA budete muset uvést výhody a pro vaše rozhodnutí je v souladu s účelem GDPR. Pokud máte po provedení testu zůstatku nějaké výhrady, můžete zvážit úpravu metrik zpracování nebo zvážit jiný zákonný základ (např. uzavřete smlouvu, budete zajišťovat získání souhlasu) pro váš postup.


V principu GDPR chrání ty organizace, které usilují, nikoliv jen naoko, o dodržování předpisu. V daném při přípravě LIA nejde o precizitu či úplnou přesnost (pozor, jde o právo, nikoliv let do vesmíru). Pokud tedy učiníte ze zájmů svých klientů, potenciálních klientů, zaměstnanců, partnerů a jiných lidí svoji prioritu a promítnete ji do dokumentace, není pravděpodobné, že GDPR porušujete.


Základní LIU získáte bezplatně zde.


Pokud chcete profesionálě se zárukou jistoty připravenou LIA v CZ variantě můžete koupit na tomto místě.





25 zobrazení0 komentář

Nejnovější příspěvky

Zobrazit vše