DPIA — Posúdenie vplyvu na ochranu údajov (GDPR Art. 35)

# Data Protection Impact Assessment (DPIA)
## Posúdenie vplyvu na ochranu osobných údajov

**Názov spracovateľskej činnosti:** {{PROCESSING_ACTIVITY_NAME}}
**Verzia dokumentu:** 1.0
**Dátum posúdenia:** {{ASSESSMENT_DATE}}
**Autor:** {{AUTHOR_NAME}} ({{AUTHOR_ROLE}})
**Schválil:** {{DPO_NAME}} (DPO)
**Prevádzkovateľ:** {{CONTROLLER_NAME}}, IČO: {{CONTROLLER_ICO}}

## 1. Kedy je DPIA povinné (GDPR čl. 35 ods. 3)
Označte všetky, ktoré sa vzťahujú:
- [ ] Systematické a rozsiahle hodnotenie osobných aspektov (profilovanie).
- [ ] Spracovanie osobitných kategórií údajov vo veľkom rozsahu (zdravotné, biometrické, rasové, náboženské).
- [ ] Systematické monitorovanie verejne prístupnej oblasti vo veľkom rozsahu.
- [ ] Zoznam ÚOOÚ SK/ČR — spracovanie uvedené v zozname povinných DPIA: {{UOOU_LIST_REFERENCE}}.
- [ ] Iné (vysoko pravdepodobné riziko): {{OTHER_JUSTIFICATION}}.

## 2. Opis spracovania
### 2.1 Účely
{{PROCESSING_PURPOSES}}

### 2.2 Kategórie dotknutých osôb
{{DATA_SUBJECTS_CATEGORIES}}

### 2.3 Kategórie osobných údajov
| Kategória | Príklady polí | Citlivosť |
|-----------|---------------|-----------|
| Identifikačné | meno, email, telefón | Bežné |
| Zamestnanecké | pozícia, mzda, docházka | Dôverné |
| Lokalizačné | GPS, IP adresa | Citlivé |
| Špeciálne kat. (čl. 9) | zdravie, biometria | Vysoko citlivé |

### 2.4 Zdroje údajov
- Priamo od dotknutej osoby: {{DIRECT_SOURCES}}
- Tretie strany: {{THIRD_PARTY_SOURCES}}
- Automatické (cookies, sensors): {{AUTOMATIC_SOURCES}}

### 2.5 Právny základ (GDPR čl. 6 + čl. 9)
- [ ] Súhlas (čl. 6(1)(a))
- [ ] Zmluva (čl. 6(1)(b))
- [ ] Zákonná povinnosť (čl. 6(1)(c))
- [ ] Životne dôležité záujmy (čl. 6(1)(d))
- [ ] Verejný záujem (čl. 6(1)(e))
- [ ] Oprávnené záujmy (čl. 6(1)(f)) — vyžaduje LIA (Legitimate Interest Assessment)

Pre čl. 9 údaje navyše: {{ART9_BASIS}}

### 2.6 Recipient kategórie
- Interní zamestnanci: {{INTERNAL_RECIPIENTS}}
- Spracovatelia (Art. 28): {{PROCESSORS_LIST}}
- Tretie strany (Art. 6(1)(f)): {{THIRD_PARTY_RECIPIENTS}}
- Medzinárodní príjemcovia: {{INTERNATIONAL_TRANSFERS}} — právny základ: {{TRANSFER_BASIS}}

### 2.7 Retention
| Údaj | Retention | Právny dôvod |
|------|-----------|--------------|
| {{DATA_TYPE_1}} | {{RETENTION_1}} | {{LEGAL_BASIS_1}} |
| {{DATA_TYPE_2}} | {{RETENTION_2}} | {{LEGAL_BASIS_2}} |

## 3. Nevyhnutnosť a proporcionalita
### 3.1 Nevyhnutnosť (necessity)
Vysvetlite, prečo je zber každého údaja nevyhnutný pre účel: {{NECESSITY_JUSTIFICATION}}

### 3.2 Minimalizácia
Odôvodnite, prečo nie je možné dosiahnuť účel menej invazívnym spôsobom (napr. agregácia, pseudonymizácia, anonymizácia): {{MINIMIZATION_JUSTIFICATION}}

### 3.3 Práva dotknutých osôb
Ako sú zabezpečené:
- **Prístup (čl. 15):** {{ACCESS_MECHANISM}}
- **Oprava (čl. 16):** {{RECTIFICATION_MECHANISM}}
- **Výmaz (čl. 17):** {{ERASURE_MECHANISM}}
- **Obmedzenie (čl. 18):** {{RESTRICTION_MECHANISM}}
- **Prenosnosť (čl. 20):** {{PORTABILITY_MECHANISM}}
- **Námietka (čl. 21):** {{OBJECTION_MECHANISM}}

## 4. Analýza rizík
### 4.1 Hrozby
| # | Hrozba | Pravdepodobnosť | Dopad | Úroveň rizika |
|---|--------|------------------|-------|----------------|
| 1 | Neoprávnený prístup | M | H | H |
| 2 | Náhodné vymazanie | L | M | L |
| 3 | Únik dát pri breach | M | H | H |
| 4 | Profilovanie bez transparentnosti | M | M | M |
| 5 | {{CUSTOM_THREAT}} | {{LIKELIHOOD}} | {{IMPACT}} | {{RISK_LEVEL}} |

### 4.2 Dopad na dotknuté osoby
- Materiálny: {{MATERIAL_IMPACT}}
- Nemateriálny (reputácia, diskriminácia): {{NON_MATERIAL_IMPACT}}

## 5. Opatrenia na zníženie rizika
| Riziko | Opatrenie | Typ | Zvyškové riziko |
|--------|-----------|-----|-----------------|
| Neoprávnený prístup | MFA + šifrovanie at-rest | Technické | L |
| Breach | IR procedúra + 72h notifikácia | Organizačné | L |
| Profilovanie | Transparency notice + opt-out | Organizačné | M |
| {{RISK}} | {{MITIGATION}} | {{TYPE}} | {{RESIDUAL}} |

## 6. Konzultácie
- **Interní stakeholderi:** IT Sec, Legal, HR — dátumy: {{INTERNAL_CONSULTATIONS}}
- **Dotknuté osoby (Art. 35(9)):** {{SUBJECT_CONSULTATION}} (alebo justifikácia prečo nie)
- **Externí odborníci:** {{EXTERNAL_EXPERTS}}

## 7. Záver DPIA
- [ ] **Proceed** — riziká mitigované, spracovanie je v súlade s GDPR.
- [ ] **Proceed s warning** — dodatočné opatrenia sledované v akčnom pláne.
- [ ] **Konzultácia s ÚOOÚ (čl. 36)** vyžadovaná — vysoké zostatkové riziko.
- [ ] **Nepokračovať** — riziko prevažuje prínos, spracovanie sa neuskutoční.

## 8. Akčný plán
| # | Akcia | Zodpovedný | Deadline | Status |
|---|-------|------------|----------|--------|
| 1 | {{ACTION}} | {{OWNER}} | {{DEADLINE}} | Open |

## 9. Revízia DPIA
- **Povinná revízia:** pri zmene rizika, nových typov dát, novej technológii, zmene účelu.
- **Plánovaná revízia:** {{NEXT_REVIEW_DATE}} (odporúčanie: ročne).

## 10. Schválenie
| Rola | Meno | Podpis | Dátum |
|------|------|--------|-------|
| Autor | {{AUTHOR_NAME}} | _________ | {{ASSESSMENT_DATE}} |
| DPO | {{DPO_NAME}} | _________ | {{APPROVAL_DATE}} |
| Riadiaci (CEO/Board) | {{CEO_NAME}} | _________ | {{APPROVAL_DATE}} |

---

_Orientačná šablóna v súlade s GDPR Art. 35 a usmerneniami EDPB / ÚOOÚ. Pre záväzné DPIA odporúčame konzultáciu s DPO alebo externým právnym tímom._