Ocena učinka po Splošni uredbi o varstvu podatkov (GDPR)

Pri uvajanju novih tehnik obdelave podatkov in tehnologij, ki pomenijo veliko tveganje za zasebnost, bodo morala podjetja skladno z GDPR od 25. maja 2018 dalje izvajati oceno učinka oziroma presojo vplivov na zasebnost. Cilj ocene učinka je ugotoviti, ali naj nadaljuje z načrtovano obdelavo osebnih podatkov in pod kakšnimi pogoji.

Tako je po Členu 35 GDPR oceno učinka treba izvesti pred obdelavo osebnih podatkov: “kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov.” V isti oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

Kdaj gre za veliko tveganje za zasebnost?

Najprej je treba opozoriti, da bo ne glede na morebitno uvajanje novih tehnologij ocena učinkov potrebna v primerih:
(a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, vključno z njihovim profiliranjemi, če je taka obdelava osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;
(b) obsežne obdelave občutljivih osebnih podatkov, ki razkrivajo rasno ali etnično pripadnost, politična stališča, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo, kakor tudi podatkov v zvezi s kazenskimi obsodbami in prekrški; ali
(c) obsežnega sistematičnega spremljanja javno dostopnega območja, na primer z video nadzorom.

Z največ tveganja bodo povezane tiste tehnologije, ki predstavljajo neko vrsto “spremljanja” oziroma “nadzora” posameznikov. Najbolj očitni primeri so kamere in drugi senzorji, povezani z napravami interneta stvari (IoT – Internet of Things). V zvezi s profiliranjem bodo najbolj tvegane tehnologije, ki uporabljajo velike količine nestrukturiranih podatkov iz različnih virov (Big Data). Od nadzornih organov v državah članicah se pričakuje, da bodo vzdrževali sezname postopkov obdelave podatkov, ki bodo v vsakem primeru sprožili potrebo po oceni učinka.

Kdo naj opravi oceno učinka na varstvo podatkov?

Pri izvedbi ocene učinka na varstvo podatkov se mora podjetje posvetovati s pooblaščeno osebo za varstvo podatkov, če je ta imenovana. Pri tem pa je ključnega pomena, da pri oceni učinka sodelujejo vsi deležniki v podjetju, vključno z upravo, s katero mora skladno z GDPR pooblaščena oseba za varstvo podatkov neposredno sodelovati.

IT oddelek oziroma CTO morata, v tesnem sodelovanju z pooblaščeno osebo za varstvo podatkov, preveriti varnost in tveganje za zasebnosti, povezana z uporabo določene programske in strojne opreme. Marketing, prodaja in kadrovska služba morajo sodelovati, če se obdelujejo podatki v njihovem oddelku oziroma če so v konkretnem primeru pristojni za določitev namena in obsega obdelave osebnih podatkov.

Za uspešno oceno učinka je treba premagati silosno strukutor podjetja in omogočiti učinkovito sodelovanje med oddelki. To je mogoče le, če oceno učinka resno jemlje tudi uprava podjetja. Slednje ne bi smelo biti pod vprašajem, zlasti upoštevajoč globe za nespoštovanje določb uredbe v višini do 4% globalnega letnega prometa podjetja.

Kaj vsebuje ocena učinka na varstvo osebnih podatkov?

Kot minimum mora ocena učinka vsebovati:
(a) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, na katere se v zvezi z obdelavo osebnih podatkov sklicuje upravljavec;
(b) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
(c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter
(d) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti z GDPR, vse to ob upoštevanju pravic posameznikov.

Kaj se zgodi po oceni učinka na varstvo podatkov?

Ocena vplivov na zasebnost lahko določi sprejemljivo tveganje za pravice posameznikov. Vendar pa se mora podjetje posvetovati z Informacijskim pooblaščencem pred novo vrsto obdelave, kadar je bilo z oceno učinka v odsotnosti dodatnih ukrepov ugotovljeno veliko tveganje. Informacijski pooblašenec lahko v primeru nezadostnosti predlaganih ukrepov sam ukrepa v okviru svojih pooblastil.

Boštjan Makarovič je ustavovitelj londonske družbe Aphaia, ki svetuje podjetjem in regulatornim organom pri najzahtevnejših vprašanjih urejanja informacijskih in komunikacijskih tehnologij. Članek je bil izvirno objavljen na Aphaia Blogu. Aphaia deluje tudi kot zunanja pooblaščena oseba za varstvo podatkov po GDPR.

Leave a Reply

Your email address will not be published.