IT & TechnologyDoporučovaná advokátní kancelář pro IT právo

DPIA: posouzení vlivu na ochranu osobních údajů.

DPIA je povinná pro AI systémy, profilování, biometrii a rozsáhlé zpracování osobních údajů. Provedeme ji a správně zdokumentujeme pro regulátora.

Data Protection Impact Assessment (DPIA) je povinná pro zpracování osobních údajů s vysokým rizikem. Provedeme DPIA metodicky v souladu s GDPR čl. 35, pokyny EDPB a požadavky ÚOOÚ. Výsledkem je dokumentace, která splňuje regulatorní požadavky a pomáhá identifikovat a zmírnit rizika zpracování.

C on á so d l i š u j e

DPIA provedená právníky se znalostí technologie.

DPIA pro AI systém nebo biometrické zpracování vyžaduje znalost jak právního, tak technického kontextu.

Metodický přístup dle EDPB pokynů

Provádíme DPIA metodicky dle pokynů Evropského sboru pro ochranu osobních údajů (EDPB) a požadavků ÚOOÚ.

DPIA pro AI a nové technologie

Specializujeme se na DPIA pro AI systémy, profilování, biometrické zpracování a jiné nové technologie, kde je technická znalost nezbytná.

Integrace do produktového vývoje

DPIA prováděná na konci projektu je dražší a méně účinná. Pomůžeme integrovat DPIA do produktového vývoje (privacy by design).

Konzultace s ÚOOÚ

Pokud DPIA identifikuje vysoké riziko, které nelze zmírnit, je povinná předchozí konzultace s ÚOOÚ. Zastoupíme vás v tomto procesu.

D e t a i l n ě

Čtyři kroky ke kompletní a dokumentované DPIA.

DPIA screening

Posoudíme, zda je DPIA povinná na základě povahy zpracování a seznamu ÚOOÚ zpracování vyžadujících DPIA.

Provedení DPIA

Systematicky provedeme posouzení: popis zpracování, nutnost a proporcionalita, identifikace rizik pro práva subjektů.

Návrh opatření

Identifikovaná rizika doprovázíme konkrétními opatřeními pro jejich zmírnění na přijatelnou úroveň.

Dokumentace a archivace

Zpracujeme DPIA dokumentaci ve formě vhodné pro archivaci a předložení ÚOOÚ nebo auditorovi.

V á š   p a r t n e r
PORTRAIT · J. MENČÍK
Jaroslav Menčík

Jaroslav Menčík

Partner
Vedoucí týmu pro IT & Technology

Jaroslav Menčík je partnerem advokátní kanceláře Ambit a vede tým pro IT a Technologie. Za více než 15 let praxe uzavřel přes 200 transakcí v oblasti softwarového práva, kybernetické bezpečnosti, regulace AI a technologického transferu. Klientům z řad startupů, scale-upů i globálních korporací poskytuje odborné poradenství ukotvené v realitě podnikání. Vystudoval právo na Masarykově univerzitě v Brně a Karlově univerzitě v Praze (JUDr., Ph.D.) a jako Hauser Global Scholar získal titul LL.M. na NYU School of Law. Ekonomické vzdělání (Ing.) mu umožňuje integrovat finanční a strategický pohled do každého mandátu.

15+
let zkušeností v IT právu
200+
uzavřených transakcí
Č a s t o   k l a d e n é   d o t a z y

Otázky, které klienti často pokládají.

Nenašli jste tu svou? Napište přímo vedoucímu partnerovi — odpověď obvykle do jednoho pracovního dne.

Zeptejte se přímo Jaroslava
Pro jaká zpracování je DPIA povinná?
DPIA je povinná mimo jiné pro: systematické vyhodnocování fyzických osob (profilování), rozsáhlé zpracování zvláštních kategorií OÚ (zdravotní, biometrické), systematické monitorování veřejně přístupných míst a zpracování na seznamu ÚOOÚ.
Co přesně musí DPIA obsahovat?
GDPR čl. 35 ukládá minimální obsah DPIA: systematický popis zamýšlených zpracování a jejich účely, posouzení nutnosti a proporcionality, posouzení rizik pro práva subjektů, plánovaná opatření pro řešení rizik.
Jak probíhá konzultace s ÚOOÚ při vysokém riziku?
Pokud DPIA identifikuje vysoké reziduální riziko, které nelze přijatelně zmírnit, je povinná předchozí konzultace s ÚOOÚ před zahájením zpracování. ÚOOÚ má 8 týdnů (prodloužitelných o 6) na vydání písemného doporučení.
Co je privacy by design a jak s tím DPIA souvisí?
Privacy by design je princip zapracování ochrany OÚ do návrhu systémů od jejich počátku. DPIA prováděná v rané fázi vývoje projektu je efektivnějším nástrojem privacy by design než DPIA prováděná retrospektivně před spuštěním.
Platí DPIA i pro zpracování zaměstnaneckých dat?
Zpracování zaměstnaneckých dat může DPIA vyžadovat, pokud je systematické (např. monitorování výkonu, geolokace) nebo zahrnuje biometrické zpracování (docházkový systém s otisky prstů). Posouzení je vždy nutné případ od případu.