DPIA Template | Data Protection Impact Assessment
DPIA Template | Data Protection Impact Assessment
Section titled “DPIA Template | Data Protection Impact Assessment”DOCUMENT HEADER
Section titled “DOCUMENT HEADER”| Pole | Hodnota |
|---|---|
| Název projektu/systému | [PLACEHOLDER: Název AI systému nebo zpracování] |
| DPIA ID | DPIA-[YYYY]-[NNN] |
| Verze | 1.0 |
| Datum vytvoření | [PLACEHOLDER: DD.MM.YYYY] |
| Datum poslední revize | [PLACEHOLDER: DD.MM.YYYY] |
| Owner | [PLACEHOLDER: Jméno + role] |
| DPO Reviewer | [PLACEHOLDER: DPO jméno] |
| Status | Draft / In Review / Approved |
1. EXECUTIVE SUMMARY
Section titled “1. EXECUTIVE SUMMARY”1.1 Popis zpracování
Section titled “1.1 Popis zpracování”[PLACEHOLDER: 2-3 věty popisující zpracování osobních údajů nebo AI systém]
1.2 Účel DPIA
Section titled “1.2 Účel DPIA”- Nové zpracování osobních údajů
- Významná změna existujícího zpracování
- High-risk AI systém (AI Act)
- Pravidelná revize
1.3 Závěr (vyplnit po dokončení)
Section titled “1.3 Závěr (vyplnit po dokončení)”| Aspekt | Hodnocení |
|---|---|
| Celkové riziko | 🟢 Low / 🟡 Medium / 🔴 High |
| Doporučení | Approve / Approve with conditions / Reject |
2. POPIS ZPRACOVÁNÍ
Section titled “2. POPIS ZPRACOVÁNÍ”2.1 Co zpracováváte?
Section titled “2.1 Co zpracováváte?”| Kategorie dat | Příklady | Zpracováváte? |
|---|---|---|
| Identifikační údaje | Jméno, email, telefon | ☐ Ano / ☐ Ne |
| Kontaktní údaje | Adresa, PSČ | ☐ Ano / ☐ Ne |
| Finanční údaje | Číslo účtu, platební karta | ☐ Ano / ☐ Ne |
| Behaviorální data | Clickstream, browsing history | ☐ Ano / ☐ Ne |
| Lokační data | GPS, IP adresa | ☐ Ano / ☐ Ne |
| Zdravotní data | Diagnózy, zdravotní záznamy | ☐ Ano / ☐ Ne |
| Biometrická data | Otisk prstu, face ID | ☐ Ano / ☐ Ne |
| Zvláštní kategorie | Rasa, politické názory, sex. orientace | ☐ Ano / ☐ Ne |
2.2 Kdo jsou subjekty údajů?
Section titled “2.2 Kdo jsou subjekty údajů?”- Zákazníci
- Zaměstnanci
- Partneři / Vendors
- Uchazeči o zaměstnání
- Děti (<16 let)
- Jiné: [PLACEHOLDER]
2.3 Jaký je účel zpracování?
Section titled “2.3 Jaký je účel zpracování?”[PLACEHOLDER: Konkrétní účely zpracování]
2.4 Jaký je právní základ?
Section titled “2.4 Jaký je právní základ?”- Souhlas (Art. 6.1.a) – Subjekt dal explicitní souhlas
- Smlouva (Art. 6.1.b) – Nezbytné pro plnění smlouvy
- Právní povinnost (Art. 6.1.c) – Zákon vyžaduje
- Oprávněný zájem (Art. 6.1.f) – LIA assessment přiložen
- Životně důležitý zájem (Art. 6.1.d) – Ochrana života
- Veřejný zájem (Art. 6.1.e) – Výkon veřejné moci
2.5 Jak dlouho data uchováváte?
Section titled “2.5 Jak dlouho data uchováváte?”| Kategorie dat | Retention period | Zdůvodnění |
|---|---|---|
| [PLACEHOLDER] | [X měsíců/let] | [PLACEHOLDER] |
3. NECESSITY & PROPORTIONALITY
Section titled “3. NECESSITY & PROPORTIONALITY”3.1 Je zpracování nezbytné?
Section titled “3.1 Je zpracování nezbytné?”| Otázka | Odpověď |
|---|---|
| Je zpracování nezbytné pro dosažení účelu? | ☐ Ano / ☐ Ne |
| Existuje méně invazivní alternativa? | ☐ Ano / ☐ Ne |
| Jsou data minimalizována na nezbytné? | ☐ Ano / ☐ Ne |
3.2 Alternativy zvážené
Section titled “3.2 Alternativy zvážené”| Alternativa | Proč odmítnuta |
|---|---|
| [PLACEHOLDER] | [PLACEHOLDER] |
4. IDENTIFIKACE RIZIK
Section titled “4. IDENTIFIKACE RIZIK”4.1 Risk Assessment Matrix
Section titled “4.1 Risk Assessment Matrix”| # | Riziko | Likelihood | Impact | Score | Mitigace |
|---|---|---|---|---|---|
| R1 | [PLACEHOLDER: Popis rizika] | 1-5 | 1-5 | L×I | [PLACEHOLDER] |
| R2 | Neoprávněný přístup k datům | ||||
| R3 | Data breach / únik dat | ||||
| R4 | Nepřesná data / bias | ||||
| R5 | Nemožnost výkonu práv subjektu | ||||
| R6 | Nedostatečná transparentnost |
4.2 AI-specifická rizika (pokud applicable)
Section titled “4.2 AI-specifická rizika (pokud applicable)”| Riziko | Hodnocení | Mitigace |
|---|---|---|
| Bias v training datech | ☐ Low / ☐ Med / ☐ High | [PLACEHOLDER] |
| Neprůhlednost rozhodování | ☐ Low / ☐ Med / ☐ High | [PLACEHOLDER] |
| Hallucinations / nepřesné výstupy | ☐ Low / ☐ Med / ☐ High | [PLACEHOLDER] |
| Model drift | ☐ Low / ☐ Med / ☐ High | [PLACEHOLDER] |
5. OPATŘENÍ A KONTROLY
Section titled “5. OPATŘENÍ A KONTROLY”5.1 Technical Controls
Section titled “5.1 Technical Controls”| Control | Implementováno | Owner |
|---|---|---|
| Encryption at rest (AES-256) | ☐ Ano / ☐ Plánováno | |
| Encryption in transit (TLS 1.3) | ☐ Ano / ☐ Plánováno | |
| Access control (RBAC + MFA) | ☐ Ano / ☐ Plánováno | |
| Audit logging | ☐ Ano / ☐ Plánováno | |
| Data minimization | ☐ Ano / ☐ Plánováno | |
| Pseudonymization | ☐ Ano / ☐ Plánováno |
5.2 Organizational Controls
Section titled “5.2 Organizational Controls”| Control | Implementováno | Owner |
|---|---|---|
| Privacy policy updated | ☐ Ano / ☐ Plánováno | |
| Staff training | ☐ Ano / ☐ Plánováno | |
| DSAR workflow ready | ☐ Ano / ☐ Plánováno | |
| Breach notification ready | ☐ Ano / ☐ Plánováno | |
| Vendor DPA signed | ☐ Ano / ☐ Plánováno |
6. KONZULTACE
Section titled “6. KONZULTACE”6.1 Interní konzultace
Section titled “6.1 Interní konzultace”| Role | Jméno | Datum | Komentář |
|---|---|---|---|
| DPO | |||
| CISO | |||
| Legal | |||
| Product |
6.2 Konzultace se subjekty (pokud applicable)
Section titled “6.2 Konzultace se subjekty (pokud applicable)”- Konzultace proběhla
- Konzultace není nutná (zdůvodnění: [PLACEHOLDER])
7. ZÁVĚR A DOPORUČENÍ
Section titled “7. ZÁVĚR A DOPORUČENÍ”7.1 Celkové hodnocení rizika
Section titled “7.1 Celkové hodnocení rizika”| Před mitigací | Po mitigaci |
|---|---|
| ☐ Low / ☐ Medium / ☐ High | ☐ Low / ☐ Medium / ☐ High |
7.2 Doporučení DPO
Section titled “7.2 Doporučení DPO”- Schváleno – Zpracování může pokračovat
- Schváleno s podmínkami – Viz níže
- Konzultace s ÚOOÚ – Vysoké reziduální riziko
- Zamítnuto – Nepřijatelné riziko
7.3 Podmínky (pokud applicable)
Section titled “7.3 Podmínky (pokud applicable)”[PLACEHOLDER: Podmínky pro schválení]
8. SCHVÁLENÍ
Section titled “8. SCHVÁLENÍ”| Role | Jméno | Podpis | Datum |
|---|---|---|---|
| Owner | |||
| DPO | |||
| CISO (pokud applicable) | |||
| CEO (pro high-risk) |
9. REVIZE
Section titled “9. REVIZE”| Verze | Datum | Autor | Změny |
|---|---|---|---|
| 1.0 | Initial version |
Příští revize: [PLACEHOLDER: Datum nebo trigger]
PŘÍLOHY
Section titled “PŘÍLOHY”- A: Detailed data flow diagram
- B: Legitimate Interest Assessment (pokud applicable)
- C: Vendor DPA copies
- D: Technical security documentation