Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.12.2018
Naslov: Izdelava ocene učinka
Številka: 0712-3/2018/2585
Vsebina: Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede potrebe po izdelavi ocene učinka na varstvo podatkov v zvezi z izgradnjo vaše aplikacije za obravnavo vlog za dodeljevanje regionalnih spodbud upravičencem.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma splošno pojasnjuje, da kot nadzorni organ v mnenju ni pristojen podajati zavezujočih usmeritev za to, kdaj je za upravljavca oziroma obdelovalca izvedba ocene učinkov v konkretnem primeru obvezna. IP je na temo ocene učinkov izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf.

 

IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe o varstvu podatkov temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena.

 

IP je tudi pripravil in na spletni strani objavil seznam dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf.

 

IP pojasnjuje, da se navedeni kriteriji lahko uporabljajo prepleteno in ne predstavljajo izključnega seznama. Med dodatnimi kriteriji sta tudi obsežno vrednotenje in profiliranje posameznikov ter množičnost obdelave, slednja vključuje: število ali delež zadevnih posameznikov, obseg podatkov, trajanje in stalnost obdelav in geografski obseg podatkov. V kolikor gre pri izgradnji vaše aplikacije za informacijsko rešitev, pri kateri je pričakovana množična obdelava osebnih podatkov, IP meni, da gre za projekt, ki ima lahko pomembne posledice na varstvo osebnih podatkov posameznikov, zato je glede na določbe Splošne uredbe o varstvu podatkov potrebno, da se pred implementacijo rešitve opravi ustrezna ocena učinka na varstvo osebnih podatkov. IP močno odsvetuje implementacijo informacijskih rešitev velikega obsega brez ustrezno izvedenih predhodnih ocen učinkov na varstvo osebnih podatkov.

 

IP na koncu poudarja še, da je ocena učinkov namenjena upravljanju s tveganji in njihovi minimizaciji. Ob tem prinaša tudi druge pozitivne učinke, predvsem bi jo upravljavci, ki stremite k odgovornemu ravnanju z osebnimi podatki posameznikov, morali prepoznati kot orodje, ki je primarno v vašem interesu. Namenjeno je namreč pravočasni identifikaciji tveganj in sprejemu ustreznih ukrepov za obvladovanje tveganj, s čimer lahko upravljavci in obdelovalci preprečite, da bi prišlo do kršitve zakonodaje.

 

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka