...

GDPR: Ocena učinka

Večina obdelav osebnih podatkov, predvsem pa večina projektov, bi se morala začeti z oceno učinka v zvezi z varstvom osebnih podatkov. Oceno učinka v zvezi z varstvo osebnih podatkov ureja Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju GDPR) in Zakon o varstvu osebnih podatkov (v nadaljevanju ZVOP-2).

V praksi opažamo, da se večini upravljavcev pojavljajo vprašanja v zvezi z oceno učinka. Nekateri upravljavci sploh ne vedo, kaj je ocena učinka v zvezi z obdelavo osebnih podatkov.

Odločili smo se, da napišemo prispevek, v katerem bomo na kratko pojasnili, kaj je ocena učinka, kdaj jo je priporočljivo izdelati in kdaj jo morate izdelati ter kaj je treba upoštevati pri njeni izdelavi.

Več na temo varstva osebnih podatkov, javnega naročanja, delovnega prava in še več, si lahko preberete na naši spletni strani www.legalen.si v zavihku zanimivosti.

Za vas opravimo pregled skladnosti poslovanja z GDPR in ZVOP-2, izdelamo vse potrebne dokumente, nudimo pravno svetovanje s področja varstva osebnih podatkov in še več

Kaj je ocena učinka v zvezi z varstvo osebnih podatkov?

Ocena učinka v zvezi z varstvom osebnih podatkov, angleško Data Protection Impact Assessment ali DPIA je urejan v GDPR v 35. in 36. členu ter v uvodnih določbah.

Ocena učinka je preventivno orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki. Ocena učinka se izdela:

  • pred določenimi projekti,
  • pri uvajanju določenih sistemov obdelave osebnih podatkov,
  • pri uporabi sodobnih tehnologij in
  • ob sprejemanju zakonodaje, s katero se ureja obdelava osebnih podatkov.

GDPR v 76. uvodni določbi določa, da bi bilo treba verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave. Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje. Takšna tveganja upravljavec oziroma zakonodajalec oceni v oceni učinkov v zvezi z varstvom podatkov.

GDPR v 84. uvodni določbi določa, da bi moral upravljavec, za povečanje skladnosti z GDPR, kadar bi dejanja obdelave verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, izdelati ocene učinka v zvezi z varstvom podatkov, da bi ocenili:

  • izvor,
  • naravo,
  • posebnost in
  • resnost tega tveganja.

Rezultat ocene bi bilo treba upoštevati pri določitvi ustreznih ukrepov, ki jih je treba sprejeti, da bi dokazali, da je obdelava osebnih podatkov v skladu z GDPR.

GDPR nadalje določa, da kadar se na podlagi ocene učinka v zvezi z varstvom podatkov ugotovi, da dejanja obdelave predstavljajo veliko tveganje, ki ga upravljavec ne more ublažiti z ustreznimi ukrepi v smislu razpoložljive tehnologije in stroškov izvajanja, bi se bilo treba pred obdelavo posvetovati z Informacijskim pooblaščencem.

Kdaj se izvede ocena učinkov v zvezi z varovanjem osebnih podatkov?

GDPR v 35. členu določa, da kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

GDPR nadalje v tretjem odstavku 35. člena določa, da se ocena učinka v zvezi z varstvom podatkov zahteva zlasti v primeru:

  • sistematičnega in obsežnega vrednotenja osebnih vidikov, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom;
  • obsežne obdelave posebnih vrst osebnih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški, ali
  • obsežnega sistematičnega spremljanja javno dostopnega območja.

Nadalje GDPR tudi določa, da lahko Informacijski pooblaščenec določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov.

GDPR določa, da mora upravljavec osebnih podatkov, oceno učinkov v zvezi z varstvom osebnih podatkov, izdelati, ko:

  • bi obdelava osebnih podatkov, lahko povzročila veliko tveganje za pravice in svoboščine posameznikov,
  • obdelava osebnih podatkov temelji na avtomatizirani obdelavi vključno z oblikovanjem profilov, ki je temelj za odločanje o pravicah posameznika,
  • se obdeluje obsežno število posebne vrste osebnih podatkov ali osebnih podatkov v zvezi s kazensko in prekrškovno evidenco,
  • se izvaja videonadzor ali kako drugače spremlja javno dostopna območja ter
  • se obdelujejo osebni podatki iz seznama, ki ga določi nadzorni organ.

 GDPR presojo, kdaj naj se izdela ocena učinkov, daje upravljavcu, saj je temeljno načelo varovanja osebnih podatkov, odgovornost upravljavcev in obdelovalcev osebnih podatkov, zato je tudi temeljno vodilo, ki ga GDPR v 35. členu uporabi, obstoj velikega tveganja za kršitev pravic in svoboščin posameznikov, pri obdelavi osebnih podatkov. GDPR nalaga upravljavcu odgovornost, da presodi, kdaj bodo takšna velika tveganja nastala.

Informacijski pooblaščenec je skladno s 4. odstavka 35. člena GDPR, dne 24. 5. 20218 objavil seznam dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z. varstvom osebnih podatkov. Seznam najdete tukaj.

Pravno svetovanje

Contact Form Demo

ZVOP-2 v 23. členu določa varstvo osebnih podatkov na področju posebnih obdelav, ki jih definira kot obdelava osebnih podatkov v informacijskih sistemih, v katerih:

  • se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc,
  • se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov v zvezi z videonadzorom,
  • upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
  • se obdelujejo posebne vrste osebnih podatkov več kot 10.000 posameznikov.

ZVOP-2 določa, da mora upravljavec v zgoraj navedenih primerih izdelati oceno učinkov v zvezi z obdelavo osebnih podatkov, pred uvedbo teh postopkov.

ZVOP-2 nadalje v 24. členu določa, da mora predlagatelj predloga zakona, kadar se z zakonom določa obdelava osebnih podatkov, za katero je treba izdelati oceno učinka, poleg predloga zakona, priložiti tudi oceno učinka v skladu s 35. členom GDPR.

ZVOP-2 nadalje določa, da mora nadzorni organ oceno učinka preučiti in predlagatelju zakona mora podati mnenje glede obdelave osebnih podatkov, glede katerega se mora predlagatelj zakona opredeliti. Kadar ocene učinka ni treba izdelati, predlagatelj zakona opravi samo predhodno posvetovanje z nadzornim organom v skladu s 36. členom GDPR.

ZVOP-2 v tretjem odstavku 69. člena, v zvezi z obdelavo osebnih podatkov v raziskovalne namene, določa, da se, opisu raziskave iz drugega odstavka 69. člena ZVOP-2, pod pogoji iz prvega odstavka 35. člena GDPR priloži ocena učinka v zvezi z varstvom osebnih podatkov, pod pogoji iz 36. člena GDPR oziroma kadar gre za osebne podatke, ki jih upravljavec obdeluje na podlagi zakona, ki ureja varstvo osebnih podatkov na področju obravnavanja kaznivih dejanj, pa tudi zaključke posvetovanja z nadzornim organom.

ZVOP-2 nadalje v devetem odstavku 80. člena, v zvezi z videonadzorom določa, da mora upravljavec videonadzornega sistema cestnega prometa, pred dokončno določitvijo lokacij izdelati oceno učinka, ki vsebuje lokacijo odsekov cest, in jo posredovati v predhodno mnenje nadzornemu organu.

ZVOP-2 v drugem odstavku 87. člena, v zvezi s povezovanjem zbirk javnega sektorja, določa, da mora upravljavec oziroma obdelovalec pred začetkom povezovanja zbirk:

  • posebne vrste osebnih podatkov,
  • osebni podatki v zvezi s kazenskimi obsodbami in prekrški,
  • o podatkih o dohodkih v skladu z zakonom, ki ureja dohodnino,
  • o podatkih o premoženju posameznika v skladu z zakonom, ki ureja uveljavljanje pravic iz javnih sredstev,
  • o podatkih o nepremičninah v lasti posameznika v skladu z drugimi zakoni,
  • o podatkih oziroma informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni kreditni register, ter
  • uradne evidence v skladu z zakonom, ki ureja naloge in pooblastila policije, in zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma,

izdelati oceno učinka po 35. členu GDPR in se posvetovati z nadzornim organom po 36. členu GDPR.

 Na portalu vam nudimo tudi storitev pooblaščene osebe za varstvo osebnih podatkov – DPO. V vašem imenu bomo sodelovali z nadzornim organom in prevzemali vprašanja posameznikov in vam pomagali pri oblikovanju odgovorov ter pravno svetovali

ZVOP-2 v skladu z določbo prvega odstavka 22. člena v povezavi z dnevniki obdelave določa, da se z oceno učinka lahko ugotovi tveganje, ki ga je mogoče učinkovito upravljati z:

  • vodenjem dnevnika obdelave,
  • dodatno vsebino dnevnika obdelave,
  • podaljšanjem roka hrambe dnevnikov obdelav – v tem primeru se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave.

ZVOP-2 upravljavcu nalaga izdelavo ocen učinkov v zvezi z varstvom osebnih podatkov,  vedno takrat, ko se obdelujejo osebni podatki v zvezi z upravljanjem države in so določene v zakonu, ki:

  • urejajo področja upravnih notranjih zadev,
  • finančne uprave,
  • državljanstva,
  • Slovenske obveščevalno-varnostne agencije,
  • obrambe,
  • zdravstvenega varstva,
  • obveznega zdravstvenega zavarovanja,
  • uveljavljanja pravic iz javnih sredstev ter
  • kazenskih in prekrškovnih evidenc.

ZVPO-2 je prav tako, kot GDPR določil obvezo za izvedbo ocene učinkov v primerih, ko upravljavec in obdelovalec izvajata svojo temeljno dejavnost v zvezi z obdelavo osebnih podatkov, v primerih, ko obdelujeta osebne podatke več kot 100.000 posameznikov in v primerih, ko se obdelujejo posebne vrste osebnih podatkov več kot 10.000 posameznikov.

 ZCOP-2 nadalje določa, da je treba oceno učinka izvesti tudi v primerih, ko:

  • zakonodajalec predlaga nov zakon ali spreminja obstoječega in ta zakon predvideva obdelavo osebnih podatkov,
  • se osebni podatki obdelujejo v raziskovalne namene,
  • se izvaja videonadzor cestnega prometa in
  • se povezujejo zbirke javnega sektorja.

Kaj mora vsebovati ocena učinka?

GDPR v sedmem odstavku 35. člena določa nabor obveznih sestavin ocene učinkov, ki naj vsebuje:

  • sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec,
  • oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen,
  • oceno tveganj za pravice in svoboščine posameznikov, ter
  • ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

Delovna skupina za varstvo podatkov iz 29. člena GDPR je sprejela Smernice glede ocene učinka v zvezi z varstvom podatkov in opredelitve, ali je „verjetno, da bi [obdelava] povzročila veliko tveganje“. Informacijski pooblaščenec je leta 2019 izdal Smernice informacijskega pooblaščenca »Ocene učinkov na varstvo podatkov«, ki so prav tako lahko v pomoč pri izvedbi ocene učinkov v zvezi z varstvom osebnih podatkov. Informacijski pooblaščenec je prav tako izdal Metodologija za pripravo zakonodajnih ocen učinkov na varstvo osebnih podatkov, ki je v pomoč zakonodajalcu pri izvedbi ocene učinkov v zvezi z varstvom osebnih podatkov, pri sprejemanju nove ali spreminjanju obstoječe zakonodaje.

Informacijski pooblaščenec priporoča, da se ocena učinkov izvede v štirih fazah:

  • opredelitev konteksta (navede se nabor podatkov in namen njihove obdelave, podatkovni tokovi, načini pridobivanja podatkov, načini in sredstva obdelave, udeleženi subjekti in rok hrambe podatkov)
  • analiza tveganj (izvede se identifikacija tveganj, pri čemer je treba določiti tudi raven verjetnosti tveganja in raven resnosti tveganja),
  • ukrepi za obvladovanje tveganj (namen ukrepov je odprava ali vsaj ublažitev identificiranih tveganj na sprejemljivo raven),
  • priprava poročila (iz poročila mora biti razvidno, da smo izvedli omenjene faze in da smo upoštevali vse kriterije, ki se zahtevajo, da je ocena učinkov ustrezna).

Če potrebujete odzivnega in sposobnega pooblaščenca za varstvo podatkov – DPO, nas kontaktirajte

Komentiraj

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Scroll to Top