Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Ocena učinka v zvezi z varstvom podatkov

+ -

Na kratko

Kaj je ocena učinkov v zvezi z varstvom osebnih podatkov?

Katere vrste ocen učinkov na varstvo osebnih podatkov poznamo?

Zakonodajne ocene učinkov po 24. členu ZVOP-2

Projektne ocene učinkov po 35. členu Splošne uredbe

V katerih primerih je izvedba ocene učinkov obvezna?

Kdaj izvesti oceno učinkov?

Kako izvesti oceno učinkov?

Izvedba ocene učinkov v 4 fazah

Kdaj opraviti predhodno posvetovanje z nadzornim organom?

Na kratko

Splošna uredba daje velik poudarek preventivnim ukrepom v okviru novega temeljnega načela, načela odgovornosti (angl. accountability), ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev in obdelovalcev podatkov. Ocene učinkov v zvezi z varstvom podatkov (angl. Data Protection Impact Assessment ali DPIA), kot jih opredeljuje 35. člen Splošne uredbe, predstavljajo enega ključnih konceptov v okviru načela odgovornosti, ZVOP-2 pa jih zahteva tudi ob spremembah predpisov (24. člen ZVOP-2) in pri povezovanju zbirk osebnih podatkov (87. člen ZVOP-2).

  • Ocene učinkov v zvezi z varstvom osebnih podatkov so orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije oziroma ob sprejemu zakonov, s katerimi se ureja obdelava osebnih podatkov.
  • Zakonodajalci izvedejo oceno učinka ob pripravi predpisa, ki predstavlja takšno obdelavo osebnih podatkov, ki terja oceno učinka (24. člen ZVOP-2). 
  • Upravljavci izvedete oceno učinkov, ko je možno, da bi določena vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov (35. člen Splošne uredbe, 69., 80. in 87. člen ZVOP-2).
  • Priporočljivo je, da upravljavci izvedete oceno učinkov tudi pri večjih projektih, ki predvidevajo obdelavo osebnih podatkov.
  • Ocena učinka naj obsega:
    • sistematičen opis dejanj in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si upravljavci prizadevate;
    • oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
    • oceno tveganj za posameznike, na katere se nanašajo osebni podatki
    • ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov.
  • Za oceno tveganj je potrebno ugotoviti tako verjetnost kot resnost tveganj za pravice in svoboščine posameznika.
  • V pripravo ocen učinka je priporočljivo vključiti tudi pooblaščeno osebo za varstvo podatkov. Če se oceni kot primerno, se za mnenje zaprosi tudi relevantna strokovna združenja, zbornice, strokovnjake itd.
  • V primeru, da izvedena ocena učinkov identificira nesprejemljivo visoka tveganja, je potrebno opraviti predhodno posvetovanje z nadzornim organom.
  • Nadzorni organ v roku osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov.
  • Seznam obdelav, kdaj je projektna ocena učinkov obvezna in kdaj ni (seznam se nahaja tukaj)
  • RELEVANTNI ČLENI UREDBE
    Uvodne določbe: 75, 76, 77, 84, 89, 90, 91, 92, 93, 94, 95
    Členi: 35, 36
  • RELEVANTNI ČLENI ZVOP-2
    Členi: 22, 24, 69, 80, 87
  • OBVEZNO BRANJE:

Kaj je ocena učinkov v zvezi z varstvom osebnih podatkov?

Ocena učinkov je orodje za pravočasno identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavci pred obdelavo opravite oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. Ocena učinkov se lahko nanaša in izvede za posamezen proces obdelav osebnih podatkov ali pa na več procesov (podobnih) obdelav osebnih podatkov.

Katere vrste ocen učinkov na varstvo osebnih podatkov poznamo?

S sprejemom ZVOP-2 naš pravni red pozna:

1.      zakonodajne ocene učinkov po 24. členu ZVOP-2,

2.      projektne ocene učinkov po 35. členu Splošne uredbe ter po 69., 80. in 87. členu ZVOP-2.

Zakonodajne ocene učinkov pripravi predlagatelj predpisa ob predlog novega ali spremembah zakona, ki ureja takšno obdelavo osebnih podatkov, da je potrebna ocena učinka.

Projektne ocene učinkov pa pripravljajo upravljavci oz. obdelovalci pred projekti, ki predstavljajo visoka tveganja za varstvo osebnih podatkov (35. člen Splošne uredbe), na področju obdelav osebnih podatkov za raziskovalne namene (69. člen ZVOP-2), pri določanju odsekov cest, ki bodo videonadzorovani po določbah 80. člena ZVOP-2 (videonadzor na javnih površinah) ter pri povezovanju zbirk osebnih podatkov (87. člen ZVOP-2).

Zakonodajne ocene učinkov po 24. členu ZVOP-2

24. člen ZVOP-2 določa, da se ocena učinka v zvezi z varstvom osebnih podatkov po 35. členu Splošne uredbe in predhodno posvetovanje po 36. členu Splošne uredbe izvajata tudi pred uvedbo posebnih obdelav iz prvega odstavka 23. člena ZVOP-2 (varnost osebnih podatkov na področju posebnih obdelav). Ocena učinka mora upoštevati okoliščino, določeno v drugem odstavku 23. člena ZVOP-2 in možne škodljive posledice za varnost države, vključno z njenimi političnimi ali gospodarskimi koristmi, če bi bili obdelovani podatki razkriti nepooblaščenim osebam ali subjektom.

Pred začetkom obdelave se ocena učinka ponovno izdela tudi, kadar je bila spremenjena pravna podlaga za obdelavo iz 6. člena ZVOP-2.

Kadar se z zakonom določa obdelava osebnih podatkov, za katero je treba izdelati oceno učinka, predlagatelj predlogu zakona priloži oceno učinka v skladu s 35. členom Splošne uredbe (»zakonodajne ocene učinka«). Takšen primer bi bila recimo priprava pravne podlage za digitalizacijo zdravstvenih kartonov ali uvajanje novih policijskih pooblastil. Po proučitvi ocene učinka nadzorni organ poda mnenje glede obdelave osebnih podatkov, glede katerega se mora predlagatelj zakona opredeliti. Kadar ocene učinka ni treba izdelati, predlagatelj zakona opravi samo predhodno posvetovanje z nadzornim organom v skladu s 36. členom Splošne uredbe.

Namen zakonodajnih ocen učinka je, da se še pred oblikovanjem dokončnega besedila členov opravi pravočasne razmisleke o tem, kako ustrezno upoštevati temeljna načela varstva osebnih podatkov pri določanju besedila zakona. Te razmisleke (npr. kakšne namene zasledujemo, kateri nabor osebnih podatkov je potreben, kakšne varovalke moramo vključiti v zakon, ali bo šlo za povezovanje zbirk podatkov, določitev rokov hrambe ipd.) se opiše v oceni učinkov, jo pošlje IP v mnenje (t.i. predhodno posvetovanje) in na podlagi mnenja IP oblikuje (bolj) dokončno besedilo členov, ki gre lahko nato v medresorsko usklajevanje. Idealno je torej izdelava ocene učinka neke vrste pred-faza pred dokončnim oblikovanjem členov, včasih pa razumljivo zaradi nujnosti to poteka vzporedno s samim oblikovanjem zakonske ureditve.

Posebej opozarjamo na zahteve drugega odstavka 6. člena ZVOP-2 glede sestavin, ki naj bi jih vsebovali zakoni, ki urejajo obdelave osebnih podatkov zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti, in sicer:

(2) Obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju je zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon. Če je mogoče, se v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave.

Predlog metodologije IP je na voljo na povezavi.

Vlada RS je na seji 23. 8. 2023 potrdila Metodologijo za oceno učinkov predpisov na različna družbena področja, katere del se nanaša tudi na pripravo zakonodajnih ocen učinka glede varstva osebnih podatkov (poglavje "Ocena administrativnih učinkov, ki vključuje tudi informacijske vidike", od točke 6 in naprej). Gre za nekoliko bolj strnjen pristop, ki pa je v osnovi podoben metodološkemu pristopu, kot ga je predlagal IP.

Prav tako smo pripravili pregledno infografiko, v kateri je pojasnjen proces priprave zakonodajnih ocen učinka:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/infografika%20-%20DPIA.pdf.

Projektne ocene učinkov po 35. členu Splošne uredbe

35. člen Splošne uredbe določa, kaj vsebuje ocene učinka in kdaj je obvezna.

Ocena zajema vsaj:

a) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si upravljavci prizadevate;

b) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ter

d) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

Ocena učinkov je namenjena upravljanju s tveganji in njihovi minimizaciji. Ocena učinkov prinaša tudi druge pozitivne učinke, predvsem bi jo upravljavci, ki stremite k odgovornemu ravnanju z osebnimi podatki posameznikov, morali prepoznati kot orodje, ki je primarno v vašem interesu. Namenjeno je namreč pravočasni identifikaciji tveganj in sprejemu ustreznih ukrepov za obvladovanje tveganj, s čimer lahko upravljavci in obdelovalci preprečite, da bi prišlo do kršitve zakonodaje. Kršitve namreč prinašajo finančne kazni, obveznost poročanja o zaznanih kršitvah (v določenih primerih tudi obveščanje vseh prizadetih posameznikov), kar lahko vodi v zahtevne popravljalne ukrepe, sankcije, negativno publiciteto in izgubo zaupanja.

V katerih primerih je izvedba ocene učinkov obvezna?

Ocena učinkov ni obvezna splošno za vse upravljavce in za vse obdelave osebnih podatkov, temveč takrat, ko obstaja verjetnost, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Splošna uredba v 35. členu določa izvedbo ocene učinkov v primerih:

a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

b) obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

c) obsežnega sistematičnega spremljanja javno dostopnega območja.

ZVOP-2 določa dodatne obveznosti glede ocene učinka in sicer glede naslednjih področij:

  • vodenje dnevnikov obdelav in ocena učinka (22 in 24. člen ZVOP-2).
  • obdelava osebnih podatkov za raziskovalne namene (69. člen ZVOP-2).
  • videonadzor cestnega prometa (80. člen ZVOP-2),
  • ocena učinka pri povezovanju zbirk osebnih podatkov (87. člen ZVOP-2).

Za obdelave osebnih podatkov na področju varnosti države pristojni organ s področja varnosti države pripravi oceno učinka s smiselno uporabo določb tega člena. Ocena učinka je za potrebe nadzorov dostopna nadzornemu organu, Varuhu človekovih pravic in pristojnemu delovnemu telesu iz drugega odstavka 64. člena ZVOP-2.

V skladu z določbo prvega odstavka 22. člena ZVOP-2 (dnevnik obdelave) se z oceno učinka lahko ugotovi tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, kakor tudi morebitne dodatne vsebine dnevnika obdelave (drugi odstavek). Prav tako se lahko z oceno učinka ali analizo upoštevnih tveganj ugotovi tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe – v tem primeru se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave.

Ocene učinka so pomembne tudi na področju obdelav osebnih podatkov za raziskovalne namene (69. člen ZVOP-2). Raziskovalne organizacije ter raziskovalci morajo namreč opisu raziskave iz drugega odstavka 69. člena ZVOP-2 pod pogoji iz prvega odstavka  35. člena Splošne uredbe priložiti oceno učinka v zvezi z varstvom osebnih podatkov pod pogoji iz 36. člena Splošne uredbe oziroma kadar gre za osebne podatke, ki jih upravljavec obdeluje na podlagi zakona, ki ureja varstvo osebnih podatkov na področju obravnavanja kaznivih dejanj, pa tudi zaključke posvetovanja z nadzornim organom.

Prav tako so ocene učinka pomembne pri določanju odsekov cest, ki bodo videonadzorovani po določbah 80. člena ZVOP-2 (videonadzor na javnih površinah). Deveti odstavek 80. člena ZVOP-2 namreč določa, da mora upravljavec videonadzornega sistema cestnega prometa pred dokončno določitvijo lokacij, ki bodo videonadzorovane, izdelati oceno učinka, ki vsebuje lokacijo odsekov cest, in jo posredovati v predhodno mnenje nadzornemu organu. Upravljavec videonadzornega sistema mora pred dokončno določitvijo lokacij, ki bodo videonadzorovane, izdelati oceno učinka, ki vsebuje lokacijo odsekov cest, in jo posredovati v predhodno mnenje nadzornemu organu.

Ocene učinkov so zahtevane tudi pri povezovanju zbirk osebnih podatkov po 87. členu ZVOP-2. Drugi odstavek 87. člena ZVOP-2 določa, da mora pred začetkom povezovanja zbirk iz prvega odstavka 87. člena ZVOP-2 upravljavec oziroma obdelovalec izdelati oceno učinka po 35. členu Splošne uredbe in se posvetovati z nadzornim organom po 36. členu Splošne uredbe. Glede na navedeno sta v primeru povezovanja po določbah 87.člena ZVOP-2 obvezna tako izdelava ocene učinka kot predhodno posvetovanje z IP (t.j. pridobitev mnenja IP na oceno učinka). Zakonodajalec je povezovanje specifično uredil in gre za drugačno ureditev kot sicer velja za ocene učinka po 35. členu Splošne uredbe, kjer je posvetovanje z nadzornim organom obvezno (le) takrat, kadar je iz ocene učinka v zvezi z varstvom podatkov razvidno, da bi obdelava povzročila veliko tveganje če upravljavec ne bi sprejel ukrepov za ublažitev tveganja.

***

Ocene učinkov so posebej relevantne pri uvajanju novih tehnologij (dodatne usmeritve najdete v uvodnih določbah 71 in 91). V pomoč so vam lahko Smernice glede ocene učinka v zvezi z varstvom osebnih podatkov Delovne skupine za varstvo podatkov iz člena 29. Opozoriti je treba, da ne gre za končen seznam, saj lahko velika tveganja povzročijo tudi druge vrste obdelave, vendar je podanih nekaj kriterijev, ki naj bi pokazali, kdaj gre za visoka tveganja. Konkreten seznam obdelav, kdaj je ocena učinkov obvezna in kdaj ni obvezna sprejme posamezen nadzorni organ (seznam se nahaja tukaj) in jih posreduje Evropskemu odboru za varstvo podatkov.

Spodaj so navedeni nekateri kriteriji in primeri, kdaj se odločiti za oceno, potrebno je tudi upoštevati, da več kot je kriterijev izpolnjenih, večja je verjetnost, da bo ocena učinkov obvezna. Zlasti če sta izpolnjena dva ali več kriterijev.

Kriterij

Primeri

Evalvacija in razvrščanje posameznikov, vključno s profiliranjem in napovedovanjem
(usmeritev na uvodni določni 71 in 91)

 

  • odločanje o ustreznosti komitenta glede pridobitve kredita na podlagi podatkov v SISBONU in drugih podatkov
  • genetsko testiranje in ugotavljanje verjetnosti za nastanek določene bolezni
  • beleženje podatkov o vožnjah in ustvarjanje profilov voznikov za popust pri zavarovanju

 

Avtomatizirano odločanje s pravnimi ali podobnimi pomembnimi učinki

 

  • avtomatizirano odločanje o pridobitvi/zavrnitvi: stanovanjskega ali drugega kredita, denarne socialne omoči, štipendije, usposobljenosti za delo, zdravstvenega zavarovanja …

 

Sistematični nadzor
(zlasti primeri, kjer se posameznik ne more izogniti obdelavi njegovih podatkov ali se obdelave sploh ne zaveda) 

 

  • Beleženje registrskih tablic mimo vozečih vozil
  • Preverjanje uporabnikov bencinskega servisa s seznamom ubežnikov brez plačila
  • Videonadzor prireditve na javnem prostoru iz brezpilotnika
  • Videonadzor javnih površin

 

Posebne vrste osebnih podatkov in drugi podatki bolj občutljive narave

 

  • Zdravstveni podatki o pacientih v bolnišnici
  • Kazenske in prekrškovne evidence
  • Podatki o lokaciji, elektronski komunikaciji posameznika, spletne varnostne kopije podatkov posameznika, pametne naprave, ki beležijo aktivnosti posameznika
  • Podatki o varovankah v varnih hišah, o pripadnikih določene vere, članih drugih društev, ki zbirajo posebne vrste podatkov

 

Množičnost obdelave osebnih podatkov, podkriteriji:
-    število (ali delež) zadevnih posameznikov,
-    obseg podatkov,
-    trajanje ali stalnost obdelave,
-    geografski obseg obdelave.

 

  • Klubi zvestobe pri trgovcih
  • Podatki o uporabi elektronskih komunikacij pri operaterjih
  • Podatki o zavarovancih in škodnih primerih pri zavarovalnicah
  • Registri na državni ravni
  • Podatki o komitentih in njihovi uporabi bančnih storitev v bankah in hranilnicah

 

Primerjanje in kombiniranje različnih zbirk podatkov (npr. pridobljenih skozi različne aktivnosti upravljavca) in analitika na osnovi masovnih podatkov

 

  • Primerjanje podatkov o zavarovancih in podatkov o škodnih primerih pri zavarovalnici z namenom ugotavljanje deležev, trendov, vzročno-posledičnih povezav ipd.
  • Primerjanje podatkov o absentizmu in podatkov o spolu, starosti in izobrazbi zaposlenih
  • Primerjanje nakupovalnih navad in podatkov o gibanju kupcev

 

Obdelava podatkov ranljivih (skupin) posameznikov, kjer obstaja občutno nesorazmerje moči med upravljavcem in posameznikom.

 

  • Obdelava osebnih podatkov zaposlenih, otrok, psihičnih bolnikov, prosilcev za azil, migrantov, starejših, pacientov …

 

Inovativna uporaba obstoječih in novih tehnologij, katerih osebne in družbene posledice niso nujno dobro raziskane in poznane

 

  • Biometrijska prepoznava prstnih odtisov, obraza
  • Testiranje genetskih vzorcev 
  • Določene naprave in senzorji v okviru interneta stvari (npr. »pametne igrače«)

 

Obdelava, ki omejuje pravice posameznika ali obdelava podatkov, katere cilje je omogočiti ali preprečiti posamezniku dostop do storitev ali pogodbe

 

  • Obdelava podatkov o uporabi avtocestnega omrežja z elektronskim cestninjenjem
  • Predhodno preverjanje kreditne sposobnosti komitenta

 

Kdaj izvesti oceno učinkov?

Vedno pred obdelavo osebnih podatkov, kot to določa 35. člen Splošne uredbe in uvodni določbi 90 in 93 in skladno s konceptoma vgrajenega in privzetega varstva podatkov. Osveževanje ocen učinkov v rednih intervalih, npr. vsaj na 3 leta, je dobra praksa, saj se v vmesnem času ob hitrih tehnoloških in družbenih spremembah, lahko pomembno spremenijo okoliščine obdelave osebnih podatkov.

Kako postopati, če se je obdelava osebnih podatkov pričela izvajati pred uporabo Splošne uredbe?

Zahteve Splošne uredbe glede izvedbe ocene učinkov s stopile v uporabo s 25. 5. 2018,. Če se je obdelava podatkov pričela pred 25. 5. 2018, pa je po tem datumu prišlo do pomembnih sprememb v tveganjih, naravi, obsegu, kontekstu ali namenih, je oceno učinkov potrebno izvesti. Večji nabor zbranih podatkov, dodatni nameni obdelave in druge okoliščin imajo namreč lahko pomembne vpliv na ustrezno pravno podlago, sorazmernost, varnost podatkov in druge pomembne vidike, zato je oceno učinkov treba izvesti. 

Kako izvesti oceno učinkov?

Prvi korak je ugotovitev, ali je izvedba ocene učinkov obvezna ali ne. Kriteriji in seznami, ki naj bi jih upoštevali pri tej odločitvi, so navedeni v Smernicah o ocenah učinkov na varstvo podatkov in seznamih nadzornih organov

Sledi korak same izvedbe ocene učinkov, kjer obstajajo različne metodologije. Splošna uredba ne predpisuje uporabe določene metodologije za izvedbo ocene učinkov in upravljavcem pušča določeno mero fleksibilnosti glede izbire in uporabe metodologije. Ena najpomembnejših zahtev pa je, da to ni promocijski material, ki našteva cilje in prednosti določenega projekta, storitve ali procesa, temveč da gre primarno za oceno in upravljanje s tveganji. Nadzorni organi spodbujamo in priporočamo nastanek sektorsko-specifičnih metodologij za izvedbo ocene učinkov, saj so kot takšne lahko bolje prilagojene specifikam posameznega sektorja. Pri nas tako že imamo nekaj specifičnih okvirjev presoje vplivov na zasebnost, saj je Informacijski pooblaščenec že pred sprejemom Splošne uredbe o varstvu podatkov izdal smernice.

Upravljavci lahko sami izberete metodologijo za izvedbo ocene učinkov, vendar mora izvedba ocene učinkov ustrezati zahtevam, kot določa Splošna uredba. Evropski odbor za varstvo podatkov (EDPB) je zato razvil kriterije, ki se lahko uporabijo za oceno, ali je ocena učinkov bila ustrezno izvedena, ki jih najdete tu.

Uredba določa minimalni nabor obveznih sestavin ocene učinkov (sedmi odstavek 35. člena) in uvodni določbi 84 in 90 Splošne uredbe), in sicer naj vsebuje:

  1. sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;
  2. oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
  3. oceno tveganj za pravice in svoboščine posameznikov, ter
  4. ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

Izvedba ocene učinkov v 4 fazah

Informacijski pooblaščenec priporoča, da se ocena učinkov izvede v štirih fazah:

Slika prikazuje izvedbo ocene učinkov v štirih fazah. V prvi fazi opišemo projekt. V drugi fazi ocenimo tveganja za kršitev zakonodaje. V tretji fazi določimo ukrepe za zmanjšanje tveganj. V četrti fazi uredimo zapise in dokumentacije v poročilo.

1. Opredelitev konteksta

Osebna izkaznica projekta, kjer so navedeni nabor podatkov in namen njihove obdelave, podatkovni tokovi, načini pridobivanja podatkov, načini in sredstva obdelave, udeleženi subjekti in rok hrambe podatkov. Kontekst projekta ni reklamni letak, ki opisuje prednosti projekta in njegove cilje!  

2. Analiza tveganj

Obsega identifikacijo možnih tveganj, pri čemer je potrebno tudi določiti raven verjetnosti (kolikšna je možnost, da se bo tveganje uresničilo) in raven resnosti (kako resne bodo posledice, če se tveganje uresniči). Vsota verjetnosti in resnosti predstavlja raven tveganja. Za ocene tveganj obstajajo številne metodologije in tudi prilagojena programska orodja (vsaj za področje informacijske varnosti). Izbira metodologije in orodij je prepuščena upravljavcem.

Ocena tveganja se izvede po temeljnih načelih varstva osebnih podatkov. Ključni deli ocene tveganj naj bi sledili vsem temeljnim načelom varstva osebnih podatkov, kot jih določa 5. člen Splošne uredbe:

  • zakonitost, poštenost in preglednost,
  • omejitev namena,
  • najmanjši obseg podatkov,
  • točnost,
  • omejitev shranjevanja,
  • celovitost in zaupnost.

Temeljna načela varstva podatkov, ki naj bodo izhodišče za pripravo ocene tveganj so bolj podrobno opredeljena Smernicah za ocene učinkov na varstvo podatkov.

3. Ukrepi za obvladovanje tveganj

Namen ukrepov je odprava ali vsaj ublažitev identificiranih tveganj na sprejemljivo raven. Vsem tveganjem se bomo težko izognili, a če njihovo raven znižamo na raven sprejemljivega, smo storili dovolj. Tudi ukrepe lahko razdelimo glede na temeljna načela varstva osebnih podatkov.

Če kljub predlaganim ukrepom, ostane raven ocenjenih tvegan še vedno visoka, je potrebno opraviti predhodno posvetovanje z nadzornim organom, ki je podrobneje opisano v nadaljevanju.

4. Priprava poročila

Če so prve tri faze izvedbe ocene učinkov ustrezno dokumentirane, nastanejo zapisi, ki jih lahko sistematično uredimo v poročilo. Iz poročila mora biti razvidno, da smo izvedli omenjene faze in da smo upoštevali vse kriterije, ki se zahtevajo, da je ocena učinkov ustrezna. Priporočljivo je, da ima poročilo povzetek in/ali zaključke in mora biti na voljo nadzornemu organu na njegovo zahtevo.  

Kdaj opraviti predhodno posvetovanje z nadzornim organom?

Upravljavci se pred obdelavo posvetuje z nadzornim organom, kadar je iz ocene učinka razvidno, da bi obdelava povzročila veliko tveganje, če upravljavci ne bi sprejeli ukrepov za ublažitev tveganja oz. katar tako določa ZVOP-2 (glej zgoraj) Če so tveganja zmanjšana na sprejemljive ravni, ni potrebno predhodno posvetovanje.

Med primere nesprejemljivih visokih preostalih tveganj sodijo situacije, kjer:

  • lahko posamezniki utrpijo pomembne, celo trajne posledice zaradi zlorabe osebnih podatkov (npr. razkritje naslova varne hiše, javna objava podatka o bolezni ali spolni nagnjenosti, razkritje podatkov o zaščitenih pričah ipd.);
  • je zelo verjetno, da se bodo tveganja tudi uresničila zaradi predvidenih načinov obsežnega zbiranja in izmenjave podatkov (npr. večja verjetnost za napake in pomote).

V takšnih in podobnih primerih se mora upravljavec skladno z določbami 36. člena Splošne uredbe posvetovati z nadzornim organom. Velja poudariti, da uporaba metod za psevdonimizacijo in šifriranje podatkov sama po sebi še ne pomeni, da so ti ukrepi zadostni in primerni. Obe metodi sta v Splošni uredbi navedeni primeroma, imata svoje prednosti in slabosti, nista pa vsemogočni.

Upravljavec se mora posvetovati z nadzornim organom tudi takrat, ko:

  • to od njega zahteva zakonodaja,
  • potrebuje predhodno dovoljenje nadzornega organa.

Kadar nadzorni organ meni, da bi predvidena obdelava kršila to Splošno uredbo, zlasti kadar upravljavci niste ustrezno opredelili ali ublažili tveganja, nadzorni organ v roku do osmih tednov (dodatnih 6 tednov v kompleksnih primerih) po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58 (npr. izrek opozorila).