1. Što je Procjena učinka na zaštitu podataka?
Procjena učinka na zaštitu podataka je postupak osmišljen za opisivanje obrade, procjenu njezine nužnosti i proporcionalnosti te pružanje pomoći u upravljanju rizicima za prava i slobode pojedinaca koji nastaju obradom osobnih podataka4 , njihovom procjenom i određivanjem mjera za njihovo uklanjanje
2. Kada je potrebno provesti Procjenu učinka?
Ako preliminarna procjena rizika provedena u 3. zadaći doista ne ukazuje na to da određeni postupak obrade osobnih podataka predstavlja takav „visoki rizik“, tada se od voditelja obrade traži da provede Procjenu učinka na zaštitu podataka (DPIA) prije nastavka postupka.
NAPOMENA: Opća uredba jasno propisuje da ovo posebno može biti slučaj kada se koriste “nove tehnologije”.
GDPR propisuje da se DPIA u svakom slučaju mora provesti u slučajevima u cijelosti automatiziranog donošenja odluka, uključujući izradu profila, opsežna obrada osjetljivih podataka, ili opsežno praćenje javno dostupnih područja (Čl. 35(3)).
3. Zašto je bitno provesti Procjenu učinka?
Provođenje procjene učinka na zaštitu podataka važno je za odgovornost jer pomaže voditeljima obrade da se usklade sa zahtjevima Opće uredbe o zaštiti podataka i da dokažu da su poduzete potrebne mjere za osiguravanje usklađenosti s Uredbom. Drugim riječima, procjena učinka na zaštitu podataka postupak je za uspostavu i dokazivanje usklađenosti.
NAPOMENA: To u praksi znači da voditelji moraju kontinuirano procjenjivati rizike nastale njihovim aktivnostima obrade kako bi utvrdili kada će neka vrsta obrade „vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca”.
4. Postoji li popis obrada koje podliježu procjeni učinka?
Nacionalno nadzorno tijelo za zaštitu osobnih podataka (AZOP) mora usvojiti popise postupaka koji će biti podvrgnuti procjeni učinka.
5. Na što se odnosi procjena učinka na zaštitu podataka? Na jedan postupak obrade ili skup sličnih postupaka obrade?
- Procjena učinka na zaštitu podataka može se odnositi na jedan postupak obrade podataka. Međutim, u članku 35. stavku 1. navodi se da se „jedna procjena može odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike”. Nadalje, u nekim okolnostima može biti razumno i ekonomično da procjena učinka na zaštitu podataka obuhvaća više od jednog projekta i tematski šire područje.
PRIMJER: ako tijela javne vlasti ili javna tijela namjeravaju uspostaviti zajedničku aplikaciju ili platformu za obradu ili ako nekoliko voditelja obrade namjerava uvesti zajedničku aplikaciju ili okruženje za obradu u cijeli jedan industrijski sektor ili segment ili za horizontalnu djelatnost široke uporabe”.
- Jedna procjena učinka na zaštitu podataka može se upotrijebiti za procjenu višestrukih postupaka obrade koji su slični s obzirom na prirodu, opseg, kontekst, svrhu i rizike. Doista, cilj procjene učinka na zaštitu podataka jest sustavno proučavanje novih situacija koje mogu dovesti do visokih rizika za prava i slobode pojedinaca te nema potrebe za provođenjem procjene učinka na zaštitu podataka u slučajevima (npr. postupci obrade provedeni u specifičnom kontekstu i u specifične svrhe) koji su već proučeni. To može biti slučaj ako se koristi slična tehnologija za prikupljanje iste vrste podataka u iste svrhe.
PRIMJER: skupina općinskih tijela, od kojih svako postavlja sličan sustav kamera televizije zatvorenog kruga (CCTV), može provesti jednu procjenu učinka na zaštitu podataka koja obuhvaća postupke pojedinačnih voditelja obrade ili željeznički prijevoznik (jedan voditelj obrade) može jednom procjenom učinka na zaštitu podataka obuhvatiti sve nadzorne kamere na svim željezničkim postajama
6. Što kada imamo zajedničke voditelje obrade, tko provodi procjenu učinka?
Ako postupak obrade uključuje zajedničke voditelje obrade, oni trebaju precizno definirati svoje obveze. U njihovoj procjeni učinka na zaštitu podataka treba biti utvrđena stranka koja je odgovorna za različite mjere osmišljene za postupanje s rizicima i zaštitu prava i sloboda ispitanika. Svaki voditelj obrade podataka treba navesti svoje potrebe i podijeliti korisne informacije bez otkrivanja tajni (npr. zaštita poslovnih tajni, intelektualnog vlasništva, povjerljivih poslovnih informacija) ili slabosti.
7. Da li se procjena učinka provodi samo na obradi ili može i na određenom uređaju i/ili programu?
Procjena učinka može biti korisna i u procjeni učinka nekog tehnološkog proizvoda na zaštitu podataka, na primjer neke opreme ili nekog računalnog programa, koje će različiti voditelji obrade podataka vjerojatno upotrebljavati za provođenje različitih postupaka obrade.
Naravno, voditelj obrade podataka koji upotrebljava proizvod i dalje mora provesti vlastitu procjenu učinka na zaštitu podataka s obzirom na specifičnu provedbu, ali te se informacije mogu nalaziti i u procjeni učinka na zaštitu podataka koju prema potrebi priprema dobavljač proizvoda.
PRIMJER: Kao primjer može poslužiti odnos između proizvođača pametnih brojila i komunalnih poduzeća. Svaki dobavljač proizvoda ili izvršitelj obrade treba podijeliti korisne informacije bez otkrivanja tajni ili uzrokovanja sigurnosnih rizika otkrivanjem slabosti.
8. Koje su to obrade za koje je vjerojatno da če prouzročiti visok rizik za prava I slobode pojedinaca?
Iako procjena učinka na zaštitu podataka može biti potrebna i u drugim okolnostima, u nastavku se navode primjeri u kojima će postupak obrade vjerojatno prouzročiti visok rizik, odnosno u slučaju:
(a) sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
(b) opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. Opće uredbe
(c) sustavnog praćenja javno dostupnog područja u velikoj mjeri.
9. Koji kriteriji nam mogu pomoći u procjeni?
Kako bi se se osigurao konkretniji skup postupaka obrade koji zahtijevaju provođenje procjene učinka na zaštitu podataka zbog svojstvenog visokog rizika potrebno je razmotriti sljedećih devet kriterija:
- Procjena ili bodovanje, uključujući izradu profila i predviđanje, osobito na temelju aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja.
PRIMJERI mogu obuhvaćati financijsku instituciju koja provjerava svoje klijente u referentnoj bazi podataka o kreditnoj sposobnosti, u bazama podataka o suzbijanju pranja novca i financiranja terorizma ili u bazi podataka o prijevarama; biotehnološko poduzeće koje izravno svojim kupcima nudi genetska testiranja radi procjene i predviđanja bolesti/zdravstvenih rizika ili poduzeće koje izrađuje bihevioralne i marketinške profile utemeljene na upotrebi ili pregledavanju njihove internetske stranice.
- Automatizirano donošenje odluka s pravnim ili sličnim znatnim učinkom, obrada čiji je cilj donošenje odluka o ispitanicima proizvodeći pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
PRIMJER: obrada može rezultirati isključivanjem ili diskriminacijom pojedinaca. Obrada čiji je učinak na pojedince neznatan ili nikakav ne odgovara ovom specifičnom kriteriju.
- Sustavno praćenje: obrada koja se koristi za promatranje, praćenje ili kontrolu ispitanika, uključujući podatke prikupljene putem mreža ili „sustavnog praćenja javno dostupnog područja”
PRIMJER: Ova je vrsta praćenja jedan od kriterija jer se osobni podaci mogu prikupljati u situacijama u kojima ispitanici nisu svjesni tko prikuplja njihove podatke i u koje će svrhe ti podaci biti upotrijebljeni. Usto, pojedinci možda neće moći izbjeći takvu obradu na javnim (ili javno dostupnim) mjestima. Kao primjer može poslužiti gradski javni prijevoz.
- Osjetljivi podaci ili podaci vrlo osobne naravi: to uključuje posebne kategorije osobnih podataka kao i osobne podatke koji se odnose na kaznene osude ili kažnjiva djela
PRIMJER: Opća bolnica koja čuva medicinsku dokumentaciju pacijenata ili privatni istražitelj koji čuva pojedinosti o prijestupnicima.
- Opsežna obrada podataka
Pri utvrđivanju je li obrada opsežna, posebno razmotre slijedeći čimbenici:
- broj uključenih ispitanika, bilo kao određeni broj ili udio relevantnog stanovništva;
- količina podataka i/ili niz različitih podataka koji se obrađuju;
- trajanje ili stalnost postupka obrade podataka;
- zemljopisni opseg aktivnosti obrade.
- Podudarajući ili kombinirani skupovi podataka
PRIMJER: oni skupovi podataka koji potječu iz dva postupka obrade ili više njih, a koji su provedeni u različite svrhe i/ili koje su proveli različiti voditelji obrade podataka na način koji može premašiti razumna očekivanja ispitanika
- Podaci koji se odnose na osjetljive ispitanike (uvodna izjava 75.): obrada ove vrste podataka jest kriterij zbog povećane neravnoteže moći između ispitanika i voditelja obrade podataka, što znači da pojedinci ne mogu jednostavno dati suglasnost ili se usprotiviti obradi svojih podataka ili ostvarivati svoja prava.
PRIMJER: Osjetljivi ispitanici mogu biti djeca (smatra se da ne mogu svjesno i promišljeno dati pristanak ili se usprotiviti obradi podataka), zaposlenici, osjetljivije skupine stanovništva koje trebaju posebnu zaštitu (osobe s duševnim smetnjama, tražitelji azila ili starije osobe, pacijenti itd.).
- Inovativna upotreba ili primjena novih tehnoloških ili organizacijskih rješenja, poput kombiniranja otisaka prstiju i prepoznavanja lica radi poboljšane kontrole fizičkog pristupa itd. Iz Opće je uredbe o zaštiti podataka jasno da upotreba nove tehnologije, definirane u skladu s postignutom razinom tehnološkog znanja može dovesti do potrebe za provođenjem procjene učinka na zaštitu podataka. To je zato što upotreba takve tehnologije može obuhvaćati inovativne oblike prikupljanja i upotrebe podataka s mogućim visokim rizikom za prava i slobode pojedinaca.
PRIMJER: određene aplikacije „interneta stvari” mogu znatno utjecati na svakodnevni život i privatnost pojedinaca; stoga je potrebno provesti procjenu učinka na zaštitu podataka.
- Situacija u kojoj sama obrada sprečava ispitanike u ostvarivanju prava ili upotrebi usluge i ugovora. To uključuje i postupke obrade kojima se ispitanicima dopušta, mijenja ili odbija pristup pojedinoj usluzi ili sklapanje ugovora.
PRIMJER: banka koja provjerava klijente u referentnoj bazi podataka o kreditnoj sposobnosti pri odlučivanju o dodjeli kredita.
U većini slučajeva, voditelj obrade podataka može smatrati da obrada koja ispunjava dva kriterija zahtijeva provođenje procjene učinka na zaštitu podataka.
10. Što ako voditelj obrade ipak procijeni da ne treba provesti procjenu učinka za određenu obradu?
Dakle, postupak obrade može odgovarati prethodno navedenim slučajevima, a da voditelj obrade ipak ne smatra da će „vjerojatno prouzročiti visok rizik”. U takvim slučajevima voditelj obrade treba opravdati i dokumentirati razloge za neprovođenje procjene učinka na zaštitu podataka te uključiti/zabilježiti mišljenje službenika za zaštitu podataka.
11. U kojim slučajevima nije potrebna procjena učinka na zaštitu podataka?
Procjena učinka na zaštitu podataka nije potrebna u slijedećim slučajevima:
- ako obrada vjerojatno neće prouzročiti visok rizik za prava i slobode pojedinaca (članak 35. stavak 1.),
- ako su priroda, opseg, kontekst i svrhe obrade jako slični obradi za koju je procjena učinka na zaštitu podataka bila provedena. U takvim slučajevima, mogu se koristiti rezultati procjene učinka na zaštitu podataka za slične obrade (članak 35. stavak 1.),
- ako je postupke obrade provjerilo nadzorno tijelo prije svibnja 2018. u posebnim uvjetima koji se nisu promijenili
- ako postupak obrade ima pravni temelj u zakonodavstvu EU-a ili države članice, ako je zakonodavstvom uređen poseban postupak obrade i ako je procjena učinka na zaštitu podataka već bila provedena kao dio uspostave tog pravnog temelja, osim ako je država članica zahtijevala provođenje procjene učinka na zaštitu podataka prije aktivnosti obrade,
- ako je obrada uvrštena na fakultativni popis postupaka obrade (koji je uspostavilo nadzorno tijelo) za koje nije potrebna procjena učinka na zaštitu podataka (članak 35. stavak 5.)
12. U kojem trenutku treba provesti procjenu učinka na zaštitu podataka?
Procjenu učinka na zaštitu podataka treba provesti prije obrade. To je u skladu s načelima tehničke i integrirane zaštite podataka. Procjena učinka na zaštitu podataka pomoćni je alat za donošenje odluka o obradi.
13. Što je s postojećim postupcima obrade?
Obveza provođenja procjene učinka na zaštitu podataka primjenjuje se na postojeće postupke obrade, koji će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca i u pogledu kojih je došlo do promjene rizika, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade.
Procjena učinka na zaštitu podataka nije potrebna za postupke obrade koje je provjerilo nadzorno tijelo ili službenik za zaštitu podataka, u skladu s člankom 20. Direktive 95/46/EZ, i koji su se provodili na isti način od prethodne provjere
14. Da li je procjenu učinka potrebno periodički preispitivati ili je to jednokratna aktivnost?
Kao pitanje dobre prakse, procjena učinka na zaštitu podataka trebala bi se stalno preispitivati i redovito ponovno procjenjivati. Revizija procjene učinka na zaštitu podataka nije korisna samo za kontinuirana poboljšanja, nego je i ključna za održavanje razine zaštite podataka u okruženju koje se s vremenom mijenja.
PRIMJER: zbog uvođenja nove tehnologije ili zbog korištenja osobnim podacima u druge svrhe, jer su učinci određenih automatiziranih odluka postali važniji ili jer su nove kategorije ispitanika postale podložne diskriminaciji
15. Tko mora provesti procjenu učinka na zaštitu podataka?
Voditelj obrade odgovoran je za osiguravanje provođenja procjene učinka na zaštitu podataka. Procjenu učinka na zaštitu podataka može provesti i druga osoba unutar i izvan organizacije, ali odgovornost za tu zadaću u potpunosti preuzima voditelj obrade.
Voditelj obrade mora se savjetovati sa službenikom za zaštitu podataka, ako je imenovan što, uz odluke voditelja obrade, mora biti zabilježeno u procjeni učinka na zaštitu podataka.
Službenik za zaštitu podataka mora pratiti provođenje procjene učinka na zaštitu podataka.
Dobra je praksa ako se definiraju i zabilježe druge specifične uloge i odgovornosti, ovisno o unutarnjoj politici, procesima i pravilima
16. Koja je metodologija za provođenje procjene učinka na zaštitu podataka?
Postoje različite metodologije, ali kriteriji su im zajednički.
Općom se uredbom o zaštiti podataka utvrđuje da procjena učinka na zaštitu podataka sadržava barem:
- sustavan opis predviđenih postupaka obrade i svrha obrade,
- procjenu nužnosti i proporcionalnosti postupaka obrade,
- procjenu rizika za prava i slobode ispitanika,
- mjere predviđene za:
- „rješavanje problema rizika,
- dokazivanje sukladnosti s ovom Uredbom.
Na sljedećem je dijagramu prikazan opći iterativan postupak provedbe procjene učinka na zaštitu podataka
Općom se uredbom o zaštiti podataka voditeljima obrade podataka omogućuje fleksibilnost u utvrđivanju točne strukture i oblika procjene učinka na zaštitu podataka kako bi se uklopila u postojeće radne prakse.
Međutim, bez obzira na oblik, procjenom učinka na zaštitu podataka moraju se zaista procijeniti rizici omogućavajući voditeljima obrade da poduzmu mjere za njihovo uklanjanje.
Predložak za provođenje procjene učinka možete pronaći ovdje
17. Postoji li obveza javnog objavljivanja procjene učinka na zaštitu podataka?
Ne, ali objavom sažetka može se potaknuti povjerenje, dok cijela procjena učinka na zaštitu podataka mora biti dostavljena nadzornom tijelu u slučaju prethodnih konzultacija ili ako to zahtijeva tijelo za zaštitu podataka.
Objavljena procjena učinka na zaštitu podataka ne treba sadržavati cijelu procjenu, posebno ako bi se u procjeni učinka na zaštitu podataka mogle nalaziti određene informacije koje se odnose na sigurnosne rizike za voditelja obrade podataka ili ako bi se objavljivanjem mogle odati poslovne tajne ili osjetljive poslovne informacije
18. Kada je potrebno savjetovati se s nadzornim tijelom?
Procjena učinka na zaštitu podataka potrebna je ako će obrada podataka vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca.
PRIMJER: smatra se da će opsežna obrada zdravstvenih podataka rezultirati visokim stupnjem rizika i da je potrebna procjena učinka na zaštitu podataka.
Zatim je voditelj obrade podataka dužan procijeniti rizike za prava i slobode ispitanika i utvrditi predviđene mjere za smanjenje tih rizika na prihvatljivu razinu i dokazivanje sukladnosti s Općom uredbom o zaštitu.
PRIMJER: kao primjer moglo bi se navesti pohranjivanje osobnih podataka u prijenosno računalo uz upotrebu prikladnih tehničkih i organizacijskih sigurnosnih mjera (učinkovito šifriranje cijelog diska, sigurno upravljanje ključem, prikladni nadzor pristupa, zaštićene sigurnosne kopije itd.) uz postojeće politike (obavijest, privola, pravo pristupa, pravo na prigovor itd.).
19. Kada je potrebno obratiti se nacionalnom nadzornom tijelu?
Ako voditelj obrade podataka ne može pronaći odgovarajuće mjere za smanjenje rizika na prihvatljivu razinu (tj. ako su preostali rizici i dalje visoki), mora se savjetovati s nadzornim tijelom.
Trebalo bi međutim istaknuti da, bez obzira na to je li savjetovanje s nadzornim tijelom potrebno s obzirom na razinu preostalog rizika, čuvanje zapisa o procjeni učinka na zaštitu podataka i pravodobno ažuriranje procjene učinka na zaštitu podataka i dalje su nužni.
Izvor: Smjernice o procjeni učinka: wp248_rev.01_hr