1. Koju dužnost voditelji obrade imaju u procjeni rizika određene obrade osobnih podataka?
Opća uredba o zaštiti podataka nameće opću dužnost voditeljima obrade da “uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca” koje se nameću kod svakog postupka obrade osobnih podataka, te dužnost “provesti odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom ” Koju ulogu pritom ima Službenik?
Pri obavljanju svojih zadaća službenik vodi računa i o rizicima povezanim s postupcima obrade kao i o tehničkim mjerama s kojima bi umanjio rizike. Preporuka je također i vođenje popisa takvih postupaka obrade osobnih podataka kao i kreiranja evidencije takvih postupaka.
2. Očekuje li se od službenika za zaštitu podataka uključenost i u općenitiju procjenu rizika?
Opća uredba izrijekom ne zahtjeva uključenost DPO-a u bilo koju opću procjenu rizika. Opća uredba propisuje takvo uključivanje DPO-a samo vezano za dublju Procjenu učinka na zaštitu podataka. Međutim, u praksi bilo bi nadasve uputno (najblaže rečeno) uključiti DPO-a također i u ovu općenitiju procjenu rizika. Doista, praksi, procjena će počesto ovisiti o gledištima DPO-a.
3. Koje sve vrste rizika treba procijeniti?
Treba primijetiti da rizici koje treba procijeniti nisu samo sigurnosni rizici u užem smislu – tj., vjerojatnost i učinak povrede osobnih podataka – već štoviše rizici za prava i slobode ispitanika (i drugih pojedinaca) koji se mogu nametnuti uslijed postupaka obrade.
Ovo uključuje ne samo njihova opća prava na privatnost i privatan život kao i njihova specifična prava ispitanika, već također uključuje, ovisno o slučaju, njihova prava na slobodu izražavanja, slobodu kretanja, zabranu diskriminacije, slobodu od autoritarne vlasti i pravo ostati u demokratskom društvu bez nepriličnog nadziranja vlastite države ili drugih država, kao i pravo na učinkovite pravne lijekove. Ovaj je koncept širok.
4. Kako je definirana povreda osobnih podataka u Općoj uredbi?
Povreda osobnih podataka je definirana kao: “kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.”
5. Što uključuje opća procjena rizika?
PROBLEM: ako je utvrđeno da je određeni postupak obrade bio, sam po sebi, zakonit (tj. imao je valjanu pravnu osnovu i služio je legitimnom interesu), ali da su prikupljeni nebitni i pretjerani podaci te su čuvani za dotičnu svrhu, suprotno načelu „minimizacije podataka“ – tada se može reći da to predstavlja „rizik“ samo po sebi, tj. da bi se nebitni i pretjerani podaci koristili nezakonito.
RJEŠENJE: u tom slučaju, odgovarajuća mjera za izbjegavanje tog rizika bila bi prestanak prikupljanja nebitnih i nepotrebnih podataka, kao i brisanje bilo kojih takvih podataka koji se već čuvaju.
PROBLEM2: korištenje podataka po kojima se i dalje može identificirati osoba u statističkoj obradi koja se može provesti pomoću pseudonimizacije
RJEŠENJE: u tom slučaju, odgovarajuća mjera bila bi osigurati da se korišteni podaci pravilno pseudonimiziraju ili (po mogućnosti) u cijelosti anonimiziraju.
NAPOMENA: U praksi, službenik mora pažljivo razmotriti sve aspekte svakog odvojenog postupka obrade osobnih podataka i svaku funkciju.
6. Od kojih koraka se sastoji procjena rizika kod određene obrade osobnih podataka?
Valjana procjena rizika uključuje četiri koraka:
- Definicija postupka obrade i njegov kontekst
- Razumijevanje i procjena učinka
- Definicija mogućih prijetnji i procjena njihove vjerojatnosti (vjerojatnost pojave prijetnje)
- Procjena rizika (kombiniranjem vjerojatnosti pojave prijetnje i učinka).
7. Kako samostalno procijeniti vjerojatnost rizika sigurnosti podataka?
Drugi korak iz pitanja 6. uključuje definiranje različitih razina učinka – što može razumno ostati na četiri razine, kako slijedi:
RAZINA učinka | Opis |
Niska | Pojedinci se mogu susresti s manjim neugodnostima, koje mogu savladati bez ikakvog problema (vrijeme provedeno na ponovni unos podataka, „gnjavaža“, nelagoda itd. |
Srednja | Pojedinci se mogu susresti sa značajnim neugodnostima, koje će uspjeti savladati usprkos nekim poteškoćama (dodatni troškovi, uskrata pristupa poslovnim uslugama, strah, manjak razumijevanja, stres, manje fizičke boljke itd.). |
Visoka | Pojedinci se mogu suočiti sa značajnim posljedicama, koje bi trebali moći savladati usprkos ozbiljnim poteškoćama (zlouporaba novčanih sredstava, stavljanje na crnu listu od strane financijskih institucija, štete na imovini, gubitak zaposlenja, poziv na sud, pogoršanje zdravlja itd.). |
Vrlo visoka | Pojedinci koji se mogu susresti sa značajnim, ili čak nepovratnim posljedicama, koje ne mogu savladati (nemogućnost rada, dugotrajne psihološke ili fizičke bolesti, smrt itd.). |
Četiri su glavna područja procjene u smislu sigurnosti podataka, tj.:
A. Mrežni i tehnički resursi (hardverska oprema i softver)
B. Procesi/procedure vezane za postupak obrade podataka
C. Različite strane i ljudi uključeni u postupak obrade podataka
D. Poslovni sektor i volumen obrade
Za svako područje procjene, postavlja se pet pitanja, pri čemu pozitivan odgovor ukazuje na rizik, kako je navedeno u tabeli, na sljedećoj strani.
Osoba koja procjenjuje sigurnosni rizik može, iz tih odgovora, potom izračunati vjerojatnost pojave prijetnje, kako je navedeno u dvije table pod tim naslovom, nakon tabele, na sljedećoj strani.
Taj se rezultat tada može kombinirati s rezultatom učinka kako bi se došlo do rezultata cjelokupnog rizika, kako je navedeno u tabeli nakon ovih.
8. Što je sa procjenom rizika za prava i slobode pojedinaca?
Opća uredba se također, općenitije, poziva na “rizik(e) za prava i slobode pojedinaca”. Članak 34., očigledno prihvaća da povrede podataka, kao takve, mogu rezultirati takvim rizicima, te nameće važna pravila o tome kako ih riješiti.
Međutim, treba primijetiti da “rizici za prava i slobode pojedinaca” ne nastaju samo iz povreda podataka.
9. Koje obrade mogu prouzročiti visok rizik za prava i slobode pojedinaca?
Sama Uredba propisuje da “visok rizik” ove vrste može proisteći, posebice, iz:
- sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;
NPR. automatizirano donošenje odluka, uključujući izradu profila može dovesti do nepravednih odluka (jer nitko nije u potpunosti jednak bilo kojem drugom pojedincu, te niti jedan sustav ne bi, nadamo se, mogao znati sve o nekoj osobi) ili nedemokratskih odluka s diskriminatornim, a ipak neosporivim ishodima
- opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.;
NPR. korištenje osjetljivih podataka može također dovesti do diskriminacije (neovisno je li namjeravana ili ne); korištenje čak naoko bezopasnih podataka o izvršenim prodajama može otkriti intimne zdravstvene probleme ili trudnoću
ili
- sustavnog praćenja javno dostupnog područja u velikoj mjeri.
NPR. sustavno praćenje ljudi na javnim mjestima može imati negativan učinak na ostvarenje temeljnih prava, kao što su pravo na slobodu izražavanja, udruživanja i prosvjeda.
U tim slučajevima, upravo zato što takvi postupci obrade predstavljaju izuzetno visoke rizike za prava i slobode pojedinaca, potrebna je Procjena učinka na zaštitu podataka (a u nekim slučajevima se mora konzultirati nadležno tijelo (AZOP)
10. Da li je potrebno da dođe do povrede osobnih podataka da bi se neka obrada okarakterizirala kao rizična?
Ne. Skrećemo pažnju na to da kako bi se ovi rizici doista i pojavili, nije potrebna povreda podataka. Rizici proistječu iz iznimno opasnih karakteristika samih postupaka obrade, čak i ako se provode sukladno njihovim specifikacijama i bez povrede podataka kako je definirano u Općoj uredbi.
11. Koji su primjeri obrade osobnih podataka koje bi mogle biti rizične po prava i slobode pojedinaca?
PRIMJER OBRADE: Korištenje osobnih podataka prikupljenih za neku od svrha, koje nije „kompatibilno“ svrsi bez valjane pravne osnove za sekundarnu obradu i/ili bez primjerenog obavještavanja ispitanika o namjeravanim sekundarnim korištenjima njihovih podataka – što bi bilo još gore ako to uključuje otkrivanje podataka trećoj strani.
RIZIK: Ovo može dovesti do toga da se ispitanicima uskrati mogućnost davanja privole (ili uskrate privole ili prigovora) za sekundaru obradu, što može imati negativne učinke za njih (npr. na poslu i odobravanju kredita). Također je prilično vjerojatno da osobni podaci pribavljeni u jednom kontekstu nisu dostatno točni ili relevantni za korištenje u potpuno različitom kontekstu.
PRIMJER OBRADE: Zadržavanje i/ili korištenje osobnih podataka (uobičajeno, kad isti više nisu potrebni za izvornu svrhu u koju su prikupljeni) u pseudonimiziranom ili navodno anonimiziranom obliku (tipično, za daljnje korištenje u ovom obliku za novu, sekundarnu svrhu).
RIZIK: U smislu povećanog rizika kod ponovne identifikacije čak i navodno potpuno anonimiziranih podataka, bilo koje takvo zadržavanje i korištenje pseudonimiziranih ili navodno anonimiziranih podataka mora se smatrati kao da predstavlja rizike za prava i slobode ispitanika (što čak može postati „visoki rizici“, koji zahtijevaju Procjenu učinka na zaštitu podataka). DPO bi iznimno pažljivo trebao provjeriti rizike re-identifikacije takvih podataka kod bilo kojih specifičnih korištenja, i nametnuti snažne ublažavajuće faktore (kao što je „diferencijalna privatnost”) u odgovarajućim slučajevima – ili odbiti dozvoliti daljnju obradu podataka.
PRIMJERI OBRADE:
- Korištenje nebitnih, netočnih ili zastarjelih informacija – s mogućim sličnim negativnim posljedicama.
- Ne davanje odgovarajuće težine “ispitanikovim interesima ili temeljnim pravima i slobodama koje zahtijevaju zaštitu osobnih podataka, posebice kada je ispitanik dijete“, kod procjene mogu li se osobni podaci obrađivati po osnovi uvjeta „legitimnih interesa“
RIZIK: Ovo po definiciji izaziva štetu za te interese ispitanika. Korištenje kriterija „legitimnog interesa“ kao pravne osnove za obradu stoga uvijek zahtijeva posebno pomno propitivanje od strane službenika u ovoj zadaći.
PRIMJER OBRADE: Nepravilno pružanje informacija ispitaniku o svim detaljima kojih je mnogo, o kojima moraju biti obaviješteni po osnovi Članaka 13. i 14. GDPR-a.
RIZIK: Ovo može dovesti do toga da ispitanici nisu u mogućnosti u cijelosti ostvariti svoja prava temeljem Opće uredbe (što su naravno upravo oblici „interesa ili temeljnih prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka“).
PRIMJER OBRADE: Prijenos osobnih podataka u treću zemlju za koju se smatra da ne pruža “primjerenu” zaštitu osobnim podacima, bez postojanja odgovarajućih zaštitnih mjera ili setova odobrenih Obvezujućih korporativnih pravila (BCR-ovi), ili bez na drugi način oslanjanja na jedno od specificiranih izuzeća. Ovo uključuje korištenje usluge u oblaku („cloud“) koja koristi poslužitelj (ili poslužitelje) koji se nalaze u takvim trećim zemljama.
RIZIK: računarstvo u oblaku predstavlja specifične rizike kojima bi voditelji obrade trebali pristupiti iznimno pažljivo (oslanjajući se na svoje službenike). Doista, njegov savjet sugerira da se računarstvo u oblaku može itekako smatrati kao da predstavlja visoke rizike i stoga traži Procjenu učinka na zaštitu podataka. Ovo se spominje u sljedećoj zadaći.
12. Što nakon provedene procjene rizika?
Ako, nakon što je provedena procjena, prema mišljenju službenika, postupci obrade osobnih podataka predstavljaju rizik za relevantne interese, službenik mora dati savjet relevantnoj interno odgovornoj osobi/ama o tim rizicima, te predložiti ublažavanje rizika ili alternativni postupak.
Opet, DPO bi trebao voditi cjelovite evidencije o svim ovim procjenama rizika i savjetima.
Ako se savjet Službenika uvaži, ove evidencije će “dokazati da se obrada provodi u skladu s ovom Uredbom” – tj., da su ovi rizici doista bili procijenjeni i da su mjere poduzete u svjetlu te procjene bile prikladne tim rizicima.
13. Što ako je detektirana obrada koja predstavlja mogući visok rizik?
Napominjemo da ako opća procjena rizika ukazuje da predložena obrada predstavlja mogući “visok rizik” za prava i slobode pojedinaca, službenik treba savjetovati voditelja obrade da je potrebna cjelovita Procjena učinka na zaštitu podataka (DPIA), kako se u nastavku opisuje, u zadaći 4.
Čak i ako DPIA nije potrebna, službenik će morati nastaviti pratiti sve svoje postupke obrade osobnih podataka na kontinuiranoj osnovi.
Također zamijetite da su se često nacionalni zakonodavci već pokušali pozabaviti posebnim rizicima za koje vjeruju da su nastali posebnim postupcima obrade ili radnjama, u svojim nacionalnim pravilima.
14. Koji su primjeri obrada koje predstavljaju mogući visok rizik i time podliježu procjeni učinka na zaštitu podataka?
Primjeri:
- obrada genetičkih podataka za izračun rizika od obolijevanja i drugih zdravstvenih aspekata ispitanika u odnosu na sklapanje ili izvršenje ugovora o životnom osiguranju i ugovorima s odredbama o doživljenju je zabranjeno – i ova se zabrana ne može ukloniti privolom ispitanika.
- korištenje biometrijskih podataka i nadzorne kamere televizije zatvorenog kruga (CCTV) također podliježe posebnim uvjetima, kao što je zahtjev za posebno jasnom i nedvosmislenom privolom, te ograničenja, kao što je vremensko ograničavanje zadržavanja podataka.
Takvi zakonski uvjeti bi također trebali biti u cijelosti uzeti u obzir kod bilo koje procjene rizika: niti jedan voditelj obrade ili DPO ne bi naravno nikada zaključio da je rizik prihvatljiv iako nije udovoljeno posebnim zakonskim uvjetima i ograničenjima.