Ocena učinka v zvezi z varstvom podatkov
+ -Kaj je ocena učinkov v zvezi z varstvom osebnih podatkov ?
V katerih primerih je izvedba ocene učinkov obvezna?
Na kratko
Uredba daje velik poudarek preventivnim ukrepom v okviru novega temeljnega načela, načela odgovornosti (angl. accountability), ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev in obdelovalcev podatkov. Ocene učinkov v zvezi z varstvom podatkov (angl. Data Protection Impact Assessment ali DPIA), kot jih opredeljuje 35. člen Uredbe, predstavljajo enega ključnih konceptov v okviru načela odgovornosti.
- Ocene učinkov v zvezi z varstvom osebnih podatkov so orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije.
- Upravljavci izvedete oceno učinkov ko je možno, da bi določena vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov.
- Priporočljivo je, da upravljavci izvedete oceno učinkov tudi pri večjih projektih, ki predvidevajo obdelavo osebnih podatkov.
- Ocena učinka naj obsega:
- sistematičen opis dejanj in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si upravljavci prizadevate;
- oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
- oceno tveganj za posameznike, na katere se nanašajo osebni podatki
- ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov.
- Za oceno tveganj je potrebno ugotoviti tako verjetnost kot resnost tveganj za pravice in svoboščine posameznika.
- V pripravo ocen učinka je priporočljivo vključiti tudi pooblaščeno osebo za varstvo podatkov. Če se oceni kot primerno, se za mnenje zaprosi tudi relevantna strokovna združenja, zbornice, strokovnjake itd.
- V primeru, da izvedena ocena učinkov identificira nesprejemljivo visoka tveganja, je potrebno opraviti predhodno posvetovanje z nadzornim organom.
- Nadzorni organ v roku osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov.
- Seznam obdelav, kdaj je ocena učinkov obvezna in kdaj ni (seznam se nahaja tukaj)
- RELEVANTNI ČLENI UREDBE
Uvodne določbe: 75, 76, 77, 84, 89, 90, 91, 92, 93, 94, 95
Členi: 35, 36 - OBVEZNO BRANJE Smernice o ocenah učinkov na varstvo podatkov, ki jih je pripravil Informacijski pooblaščenec na podlagi smernic Delovne skupine iz člena 29
Kaj je ocena učinkov v zvezi z varstvom osebnih podatkov?
Ocena učinkov je orodje za pravočasno identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavci pred obdelavo opravite oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. Ocena učinkov se lahko nanaša in izvede za posamezen proces obdelav osebnih podatkov ali pa na več procesov (podobnih) obdelav osebnih podatkov.
Ocena zajema vsaj:
a) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si upravljavci prizadevate;
b) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ter
d) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.
Ocena učinkov je namenjena upravljanju s tveganji in njihovi minimizaciji. Ocena učinkov prinaša tudi druge pozitivne učinke, predvsem bi jo upravljavci, ki stremite k odgovornemu ravnanju z osebnimi podatki posameznikov, morali prepoznati kot orodje, ki je primarno v vašem interesu. Namenjeno je namreč pravočasni identifikaciji tveganj in sprejemu ustreznih ukrepov za obvladovanje tveganj, s čimer lahko upravljavci in obdelovalci preprečite, da bi prišlo do kršitve zakonodaje. Kršitve namreč prinašajo finančne kazni, obveznost poročanja o zaznanih kršitvah (v določenih primerih tudi obveščanje vseh prizadetih posameznikov), kar lahko vodi v zahtevne popravljalne ukrepe, sankcije, negativno publiciteto in izgubo zaupanja.
V katerih primerih je izvedba ocene učinkov obvezna?
Ocena učinkov ni obvezna splošno za vse upravljavce in za vse obdelave osebnih podatkov, temveč takrat, ko obstaja verjetnost, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Uredba v 35. členu določa izvedbo ocene učinkov v primerih:
a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;
b) obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali
c) obsežnega sistematičnega spremljanja javno dostopnega območja.
Ocene učinkov so posebej relevantne pri uvajanju novih tehnologij (dodatne usmeritve najdete v uvodnih določbah 71 in 91). V pomoč so vam lahko Smernice glede ocene učinka v zvezi z varstvom osebnih podatkov Delovne skupine za varstvo podatkov iz člena 29. Opozoriti je treba, da ne gre za končen seznam, saj lahko velika tveganja povzročijo tudi druge vrste obdelave, vendar je podanih nekaj kriterijev, ki naj bi pokazali, kdaj gre za visoka tveganja. Konkreten seznam obdelav, kdaj je ocena učinkov obvezna in kdaj ni obvezna sprejme posamezen nadzorni organ (seznam se nahaja tukaj) in jih posreduje Evropskemu odboru za varstvo podatkov.
Spodaj so navedeni nekateri kriteriji in primeri, kdaj se odločiti za oceno, potrebno je tudi upoštevati, da več kot je kriterijev izpolnjenih, večja je verjetnost, da bo ocena učinkov obvezna. Zlasti če sta izpolnjena dva ali več kriterijev.
Kriterij | Primeri |
---|---|
Evalvacija in razvrščanje posameznikov, vključno s profiliranjem in napovedovanjem |
|
Avtomatizirano odločanje s pravnimi ali podobnimi pomembnimi učinki |
|
Sistematični nadzor |
|
Posebne vrste osebnih podatkov in drugi podatki bolj občutljive narave |
|
Množičnost obdelave osebnih podatkov, podkriteriji: |
|
Primerjanje in kombiniranje različnih zbirk podatkov (npr. pridobljenih skozi različne aktivnosti upravljavca) in analitika na osnovi masovnih podatkov |
|
Obdelava podatkov ranljivih (skupin) posameznikov, kjer obstaja občutno nesorazmerje moči med upravljavcem in posameznikom. |
|
Inovativna uporaba obstoječih in novih tehnologij, katerih osebne in družbene posledice niso nujno dobro raziskane in poznane |
|
Obdelava, ki omejuje pravice posameznika ali obdelava podatkov, katere cilje je omogočiti ali preprečiti posamezniku dostop do storitev ali pogodbe |
|
Kdaj izvesti oceno učinkov?
Vedno pred obdelavo osebnih podatkov, kot to določa 35. člen Uredbe in uvodni določbi 90 in 93 in skladno s konceptoma vgrajenega in privzetega varstva podatkov. Osveževanje ocen učinkov v rednih intervalih, npr. vsaj na 3 leta, je dobra praksa, saj se v vmesnem času ob hitrih tehnoloških in družbenih spremembah, lahko pomembno spremenijo okoliščine obdelave osebnih podatkov.
Kako postopati, če se je obdelava osebnih podatkov pričela izvajati pred uporabo Uredbe?
Zahteve Uredbe glede izvedbe ocene učinkov stopijo v uporabo s 25. 5. 2018, Delovna skupina iz člena 29 in Informacijski pooblaščenec pa priporočata, da se ocene učinkov začnejo izvajati že prej. Če se je obdelava podatkov pričela pred 25. 5. 2018, pa je po tem datumu prišlo do pomembnih sprememb v tveganjih, naravi, obsegu, kontekstu ali namenih, je oceno učinkov potrebno izvesti. Večji nabor zbranih podatkov, dodatni nameni obdelave in druge okoliščin imajo namreč lahko pomembne vpliv na ustrezno pravno podlago, sorazmernost, varnost podatkov in druge pomembne vidike, zato je oceno učinkov treba izvesti.
Kako izvesti oceno učinkov?
Prvi korak je ugotovitev, ali je izvedba ocene učinkov obvezna ali ne. Kriteriji in seznami, ki naj bi jih upoštevali pri tej odločitvi, so navedeni v Smernicah o ocenah učinkov na varstvo podatkov in seznamih nadzornih organov.
Sledi korak same izvedbe ocene učinkov, kjer obstajajo različne metodologije. Uredba ne predpisuje uporabe določene metodologije za izvedbo ocene učinkov in upravljavcem pušča določeno mero fleksibilnosti glede izbire in uporabe metodologije. Ena najpomembnejših zahtev pa je, da to ni promocijski material, ki našteva cilje in prednosti določenega projekta, storitve ali procesa, temveč da gre primarno za oceno in upravljanje s tveganji. Nadzorni organi spodbujamo in priporočamo nastanek sektorsko-specifičnih metodologij za izvedbo ocene učinkov, saj so kot takšne lahko bolje prilagojene specifikam posameznega sektorja. Pri nas tako že imamo nekaj specifičnih okvirjev presoje vplivov na zasebnost, saj je Informacijski pooblaščenec že pred sprejemom Splošne uredbe o varstvu podatkov izdal smernice.
Upravljavci lahko sami izberete metodologijo za izvedbo ocene učinkov, vendar mora izvedba ocene učinkov ustrezati zahtevam, kot določa Uredba. Delovna skupina iz člena 29 je zato razvila kriterije, ki se lahko uporabijo za oceno, ali je ocena učinkov bila ustrezno izvedena, ki jih najdete tu
Uredba določa minimalni nabor obveznih sestavin ocene učinkov (člen 35(7) in uvodni določbi 84 in 90), in sicer naj vsebuje:
- sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;
- oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
- oceno tveganj za pravice in svoboščine posameznikov, ter
- ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.
Izvedba ocene učinkov v 4 fazah
Informacijski pooblaščenec priporoča, da se ocena učinkov izvede v štirih fazah:
1. Opredelitev konteksta
Osebna izkaznica projekta, kjer so navedeni nabor podatkov in namen njihove obdelave, podatkovni tokovi, načini pridobivanja podatkov, načini in sredstva obdelave, udeleženi subjekti in rok hrambe podatkov. Kontekst projekta ni reklamni letak, ki opisuje prednosti projekta in njegove cilje!
2. Analiza tveganj
Obsega identifikacijo možnih tveganj, pri čemer je potrebno tudi določiti raven verjetnosti (kolikšna je možnost, da se bo tveganje uresničilo) in raven resnosti (kako resne bodo posledice, če se tveganje uresniči). Vsota verjetnosti in resnosti predstavlja raven tveganja. Za ocene tveganj obstajajo številne metodologije in tudi prilagojena programska orodja (vsaj za področje informacijske varnosti). Izbira metodologije in orodij je prepuščena upravljavcem.
Ocena tveganja se izvede po temeljnih načelih varstva osebnih podatkov. Ključni deli ocene tveganj naj bi sledili vsem temeljnim načelom varstva osebnih podatkov, kot jih določa 5. člen Uredbe:
- zakonitost, poštenost in preglednost,
- omejitev namena,
- najmanjši obseg podatkov,
- točnost,
- omejitev shranjevanja,
- celovitost in zaupnost.
Temeljna načela varstva podatkov, ki naj bodo izhodišče za pripravo ocene tveganj so bolj podrobno opredeljena Smernicah za ocene učinkov na varstvo podatkov.
3. Ukrepi za obvladovanje tveganj
Namen ukrepov je odprava ali vsaj ublažitev identificiranih tveganj na sprejemljivo raven. Vsem tveganjem se bomo težko izognili, a če njihovo raven znižamo na raven sprejemljivega, smo storili dovolj. Tudi ukrepe lahko razdelimo glede na temeljna načela varstva osebnih podatkov.
Če kljub predlaganim ukrepom, ostane raven ocenjenih tvegan še vedno visoka, je potrebno opraviti predhodno posvetovanje z nadzornim organom, ki je podrobneje opisano v nadaljevanju.
4. Priprava poročila
Če so prve tri faze izvedbe ocene učinkov ustrezno dokumentirane, nastanejo zapisi, ki jih lahko sistematično uredimo v poročilo. Iz poročila mora biti razvidno, da smo izvedli omenjene faze in da smo upoštevali vse kriterije, ki se zahtevajo, da je ocena učinkov ustrezna. Priporočljivo je, da ima poročilo povzetek in/ali zaključke in mora biti na voljo nadzornemu organu na njegovo zahtevo.
Kdaj opraviti predhodno posvetovanje z nadzornim organom?
Upravljavci se pred obdelavo posvetuje z nadzornim organom, kadar je iz ocene učinka razvidno, da bi obdelava povzročila veliko tveganje, če upravljavci ne bi sprejeli ukrepov za ublažitev tveganja. Če so tveganja zmanjšana na sprejemljive ravni, ni potrebno predhodno posvetovanje.
Med primere nesprejemljivih visokih preostalih tveganj sodijo situacije, kjer:
- lahko posamezniki utrpijo pomembne, celo trajne posledice zaradi zlorabe osebnih podatkov (npr. razkritje naslova varne hiše, javna objava podatka o bolezni ali spolni nagnjenosti, razkritje podatkov o zaščitenih pričah ipd.);
- je zelo verjetno, da se bodo tveganja tudi uresničila zaradi predvidenih načinov obsežnega zbiranja in izmenjave podatkov (npr. večja verjetnost za napake in pomote).
V takšnih in podobnih primerih se mora upravljavec skladno z določbami 36. člena Uredbe posvetovati z nadzornim organom. Velja poudariti, da uporaba metod za psevdonimizacijo in šifriranje podatkov sama po sebi še ne pomeni, da so ti ukrepi zadostni in primerni. Obe metodi sta v Uredbi navedeni primeroma, imata svoje prednosti in slabosti, nista pa vsemogočni.
Upravljavec se mora posvetovati z nadzornim organom tudi takrat, ko:
- to od njega zahteva zakonodaja,
- potrebuje predhodno dovoljenje nadzornega organa.
Kadar nadzorni organ meni, da bi predvidena obdelava kršila to Uredbo, zlasti kadar upravljavci niste ustrezno opredelili ali ublažili tveganja, nadzorni organ v roku do osmih tednov (dodatnih 6 tednov v kompleksnih primerih) po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58 (npr. izrek opozorila).