Skip to content
My Docs

DPIA Template | Data Protection Impact Assessment

DPIA Template | Data Protection Impact Assessment

Section titled “DPIA Template | Data Protection Impact Assessment”

DOCUMENT HEADER

Section titled “DOCUMENT HEADER”
PoleHodnota
Název projektu/systému[PLACEHOLDER: Název AI systému nebo zpracování]
DPIA IDDPIA-[YYYY]-[NNN]
Verze1.0
Datum vytvoření[PLACEHOLDER: DD.MM.YYYY]
Datum poslední revize[PLACEHOLDER: DD.MM.YYYY]
Owner[PLACEHOLDER: Jméno + role]
DPO Reviewer[PLACEHOLDER: DPO jméno]
StatusDraft / In Review / Approved

1. EXECUTIVE SUMMARY

Section titled “1. EXECUTIVE SUMMARY”

1.1 Popis zpracování

Section titled “1.1 Popis zpracování”

[PLACEHOLDER: 2-3 věty popisující zpracování osobních údajů nebo AI systém]

1.2 Účel DPIA

Section titled “1.2 Účel DPIA”
  • Nové zpracování osobních údajů
  • Významná změna existujícího zpracování
  • High-risk AI systém (AI Act)
  • Pravidelná revize

1.3 Závěr (vyplnit po dokončení)

Section titled “1.3 Závěr (vyplnit po dokončení)”
AspektHodnocení
Celkové riziko🟢 Low / 🟡 Medium / 🔴 High
DoporučeníApprove / Approve with conditions / Reject

2. POPIS ZPRACOVÁNÍ

Section titled “2. POPIS ZPRACOVÁNÍ”

2.1 Co zpracováváte?

Section titled “2.1 Co zpracováváte?”
Kategorie datPříkladyZpracováváte?
Identifikační údajeJméno, email, telefon☐ Ano / ☐ Ne
Kontaktní údajeAdresa, PSČ☐ Ano / ☐ Ne
Finanční údajeČíslo účtu, platební karta☐ Ano / ☐ Ne
Behaviorální dataClickstream, browsing history☐ Ano / ☐ Ne
Lokační dataGPS, IP adresa☐ Ano / ☐ Ne
Zdravotní dataDiagnózy, zdravotní záznamy☐ Ano / ☐ Ne
Biometrická dataOtisk prstu, face ID☐ Ano / ☐ Ne
Zvláštní kategorieRasa, politické názory, sex. orientace☐ Ano / ☐ Ne

2.2 Kdo jsou subjekty údajů?

Section titled “2.2 Kdo jsou subjekty údajů?”
  • Zákazníci
  • Zaměstnanci
  • Partneři / Vendors
  • Uchazeči o zaměstnání
  • Děti (<16 let)
  • Jiné: [PLACEHOLDER]

2.3 Jaký je účel zpracování?

Section titled “2.3 Jaký je účel zpracování?”

[PLACEHOLDER: Konkrétní účely zpracování]

2.4 Jaký je právní základ?

Section titled “2.4 Jaký je právní základ?”
  • Souhlas (Art. 6.1.a) – Subjekt dal explicitní souhlas
  • Smlouva (Art. 6.1.b) – Nezbytné pro plnění smlouvy
  • Právní povinnost (Art. 6.1.c) – Zákon vyžaduje
  • Oprávněný zájem (Art. 6.1.f) – LIA assessment přiložen
  • Životně důležitý zájem (Art. 6.1.d) – Ochrana života
  • Veřejný zájem (Art. 6.1.e) – Výkon veřejné moci

2.5 Jak dlouho data uchováváte?

Section titled “2.5 Jak dlouho data uchováváte?”
Kategorie datRetention periodZdůvodnění
[PLACEHOLDER][X měsíců/let][PLACEHOLDER]

3. NECESSITY & PROPORTIONALITY

Section titled “3. NECESSITY & PROPORTIONALITY”

3.1 Je zpracování nezbytné?

Section titled “3.1 Je zpracování nezbytné?”
OtázkaOdpověď
Je zpracování nezbytné pro dosažení účelu?☐ Ano / ☐ Ne
Existuje méně invazivní alternativa?☐ Ano / ☐ Ne
Jsou data minimalizována na nezbytné?☐ Ano / ☐ Ne

3.2 Alternativy zvážené

Section titled “3.2 Alternativy zvážené”
AlternativaProč odmítnuta
[PLACEHOLDER][PLACEHOLDER]

4. IDENTIFIKACE RIZIK

Section titled “4. IDENTIFIKACE RIZIK”

4.1 Risk Assessment Matrix

Section titled “4.1 Risk Assessment Matrix”
#RizikoLikelihoodImpactScoreMitigace
R1[PLACEHOLDER: Popis rizika]1-51-5L×I[PLACEHOLDER]
R2Neoprávněný přístup k datům
R3Data breach / únik dat
R4Nepřesná data / bias
R5Nemožnost výkonu práv subjektu
R6Nedostatečná transparentnost

4.2 AI-specifická rizika (pokud applicable)

Section titled “4.2 AI-specifická rizika (pokud applicable)”
RizikoHodnoceníMitigace
Bias v training datech☐ Low / ☐ Med / ☐ High[PLACEHOLDER]
Neprůhlednost rozhodování☐ Low / ☐ Med / ☐ High[PLACEHOLDER]
Hallucinations / nepřesné výstupy☐ Low / ☐ Med / ☐ High[PLACEHOLDER]
Model drift☐ Low / ☐ Med / ☐ High[PLACEHOLDER]

5. OPATŘENÍ A KONTROLY

Section titled “5. OPATŘENÍ A KONTROLY”

5.1 Technical Controls

Section titled “5.1 Technical Controls”
ControlImplementovánoOwner
Encryption at rest (AES-256)☐ Ano / ☐ Plánováno
Encryption in transit (TLS 1.3)☐ Ano / ☐ Plánováno
Access control (RBAC + MFA)☐ Ano / ☐ Plánováno
Audit logging☐ Ano / ☐ Plánováno
Data minimization☐ Ano / ☐ Plánováno
Pseudonymization☐ Ano / ☐ Plánováno

5.2 Organizational Controls

Section titled “5.2 Organizational Controls”
ControlImplementovánoOwner
Privacy policy updated☐ Ano / ☐ Plánováno
Staff training☐ Ano / ☐ Plánováno
DSAR workflow ready☐ Ano / ☐ Plánováno
Breach notification ready☐ Ano / ☐ Plánováno
Vendor DPA signed☐ Ano / ☐ Plánováno

6. KONZULTACE

Section titled “6. KONZULTACE”

6.1 Interní konzultace

Section titled “6.1 Interní konzultace”
RoleJménoDatumKomentář
DPO
CISO
Legal
Product

6.2 Konzultace se subjekty (pokud applicable)

Section titled “6.2 Konzultace se subjekty (pokud applicable)”
  • Konzultace proběhla
  • Konzultace není nutná (zdůvodnění: [PLACEHOLDER])

7. ZÁVĚR A DOPORUČENÍ

Section titled “7. ZÁVĚR A DOPORUČENÍ”

7.1 Celkové hodnocení rizika

Section titled “7.1 Celkové hodnocení rizika”
Před mitigacíPo mitigaci
☐ Low / ☐ Medium / ☐ High☐ Low / ☐ Medium / ☐ High

7.2 Doporučení DPO

Section titled “7.2 Doporučení DPO”
  • Schváleno – Zpracování může pokračovat
  • Schváleno s podmínkami – Viz níže
  • Konzultace s ÚOOÚ – Vysoké reziduální riziko
  • Zamítnuto – Nepřijatelné riziko

7.3 Podmínky (pokud applicable)

Section titled “7.3 Podmínky (pokud applicable)”

[PLACEHOLDER: Podmínky pro schválení]

8. SCHVÁLENÍ

Section titled “8. SCHVÁLENÍ”
RoleJménoPodpisDatum
Owner
DPO
CISO (pokud applicable)
CEO (pro high-risk)

9. REVIZE

Section titled “9. REVIZE”
VerzeDatumAutorZměny
1.0Initial version

Příští revize: [PLACEHOLDER: Datum nebo trigger]

PŘÍLOHY

Section titled “PŘÍLOHY”
  • A: Detailed data flow diagram
  • B: Legitimate Interest Assessment (pokud applicable)
  • C: Vendor DPA copies
  • D: Technical security documentation