HR | EN

logo
header pozadina-min

Procjena učinka na zaštitu podataka (eng. Data Protection Impact Assessment-DPIA)

Vodič za provedbu procjene učinka na zaštitu podataka

Web alat Olivia- moduli o procjenama učinka na zaštitu podataka

Obrazac/predložak za procjenu učinka

Sazjnate više u Smjernicama o procjeni učinka Europskog odobra za zaštitu podataka

Opća uredba o zaštiti podataka ima pristup kojim se želi poboljšati efektivnost zaštite podataka na način da se posebno nadziru rizične obrade.

Procjena učinka na zaštitu podataka je jedan od postupaka za uspostavu i dokazivanje usklađenosti s Općom uredbom, odnosno isti je osmišljen za opisivanje obrade, procjenu njezine nužnosti i proporcionalnosti te pružanje pomoći u upravljanju rizicima za prava i slobode pojedinaca koji nastaju obradom osobnih podataka.

 

U kojim slučajevima je potrebno provesti procjenu učinka na zaštitu podataka?

Ako je vjerojatno da će neka vrsta obrade, osobito uporabom novih tehnologija, uzimajući pri tome u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visoki rizik za prava i slobode pojedinaca, voditelj obrade prije obrade dužan je provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.

Procjena učinka na zaštitu podataka obvezna je osobito u slučaju:

  1. sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca

2. opsežne obrade posebnih kategorija osobnih podataka (članak 9. stavak 1. Uredbe) ili podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Uredbe )

3. sustavnog praćenja javno dostupnog područja u velikoj mjeri

 

PRIMJERI OBRADE KADA JE PROCJENA UČINKA NUŽNA:

  • Bolnica koja obrađuje genetske i zdravstvene podatke svojih pacijenata (bolnički informacijski sustav)
  • Prikupljanje podataka s javnih društvenih medija za izradu profila
  • Institucija koja uspostavlja bazu podataka kreditnog rejtinga ili prijevara na nacionalnoj razini
  • Pohrana u svrhu arhiviranja pseudonimiziranih osobnih osjetljivih podataka koji se odnose na osjetljive ispitanike u okviru istraživačkih projekata ili kliničkih ispitivanja
  • Prikupljanje podataka s javnih društvenih medija za izradu profila
  • Sustavno i opsežno profiliranje koje proizvodi pravne ili slične značajne učinke (npr. automatsko odbijanje kredita, rangiranje kandidata za posao, automatizirana procjena prava na socijalne naknade).
  • Opsežna obrada posebnih kategorija podataka (zdravstveni podaci, biometrija, genetski podaci) – npr. bolnički sustav koji centralno spaja nalaze, terapije i dijagnostiku
  • Biometrijska identifikacija / autentikacija (npr. prepoznavanje lica za ulazak u zgradu, otključavanje uređaja na radnom mjestu, biometrijska evidencija radnog vremena).
  • Sustavni video-nadzor većih površina ili javno dostupnih prostora (npr. shopping centar, javni prijevoz, gradske površine; pogotovo uz analitiku ili prepoznavanje ponašanja).
  • Praćenje lokacije i kretanja (npr. aplikacije za praćenje vozila zaposlenika, aplikacije za praćenje mobitela zaposlenika)
  • Velike baze podataka koje se spajaju iz više izvora (data matching) – npr. spajanje podataka iz CRM-a, web-analitike, loyalty programa i partnera radi segmentacije.
  • Nove tehnologije / inovativna obrada koja značajno mijenja odnos prema ispitanicima (npr. uvođenje AI sustava za odlučivanje ili otkrivanje prijevara gdje se koriste novi izvori i metode).
  • Primjeri iz konteksta umjetne inteligencije:
  • Uvođenje AI sustava za automatsko odlučivanje ili  kao potpora u odlučivanju u kontekstu radnih odnosa, zdravstvu, financijama, osiguranju, obrazovanju.
  • Chatbot koji pristupa internim dokumentima s osobnim podacima (npr. baza s osobnim podacima zaposlenika/klijenata) – osobito ako se generiraju sažeci, preporuke ili se dijele odgovori van organizacije.
  • Treniranje/fino podešavanje modela na internim datasetovima koji sadrže osobne podatke (npr. e-mailovi, pozivi, chat transkripti, medicinska dokumentacija).
  • AI nadzor produktivnosti (npr. praćenje tipkanja, aktivnosti na računalu)


PRIMJERI OBRADE KADA PROCJENA UČINKA NIJE NUŽNA:

  • obrada „osobnih podataka pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika iliodvjetnika” (uvodna izjava 91.)
  • internetska stranica e-trgovine koja prikazuje reklame za svoje proizvode i usluge, što obuhvaća iograničenu izradu profila na temelju pregleda ili kupnji na vlastitoj internetskoj stranici


VAŽNO!

Popis vrsta postupaka obrade koji podliježu zahtjevu za procjenu učinka na zaštitu podataka, možete pronaći na

https://azop.hr/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podlijezu-zahtjevu-za-procjenu-ucinka-na-zastitu-podataka/.

U kojem trenutku je potrebno provesti procjenu učinka za zaštitu podataka?

Procjenu učinka na zaštitu podataka potrebno je provesti prije početka obrade osobnih podataka, radi osiguravanja poštovanja načela zaštite podataka već u fazi projektiranja i po defaultu. Međutim, ako je obrada dinamična i podložna učestalim promjenama, procjenu učinka treba provoditi kontinuirano i ažurirati je tijekom cijelog životnog ciklusa obrade.

A

Povezano

Koordinirana provedbena akcija EDPB-a za 2026

Koordinirana provedbena akcija EDPB-a za 2026

Europski odbor za zaštitu podataka (EDPB) pokrenuo je svoju akciju u okviru Koordiniranog okvira provedbe (CEF) za 2026. godinu Opća uredba o zaštiti podataka jamči pojedincima pravo na informiranost o obradi njihovih osobnih podataka, u skladu s člancima 12., 13. i...

VIDEONADZOR
ZAHTJEV ZA UTVRĐIVANJE POVREDE PRAVA
UMJETNA INTELIGENCIJA
IMENOVANJE SLUŽBENIKA ZA ZAŠTITU PODATAKA
MIŠLJENJA, RJEŠENJA, PREPORUKE I SMJERNICE
IZVJEŠĆIVANJE O POVREDI OSOBNIH PODATAKA
Olivia-alat za usklađivanje s GDPR-om
7-edpb_logo_fullcolor_2
ARC projekt
Skip to content