Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Ocena učinka v zvezi z varstvom podatkov

+ -

Na kratko

Kaj je ocena učinkov v zvezi z varstvom osebnih podatkov ?

V katerih primerih je izvedba ocene učinkov obvezna?

Kdaj izvesti oceno učinkov?

Kako izvesti oceno učinkov?

Izvedba ocene učinkov v 4 fazah

Kdaj opraviti predhodno posvetovanje z nadzornim organom?

Na kratko

Uredba daje velik poudarek preventivnim ukrepom v okviru novega temeljnega načela, načela odgovornosti (angl. accountability), ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev in obdelovalcev podatkov. Ocene učinkov v zvezi z varstvom podatkov (angl. Data Protection Impact Assessment ali DPIA), kot jih opredeljuje 35. člen Uredbe, predstavljajo enega ključnih konceptov v okviru načela odgovornosti.

    • Ocene učinkov v zvezi z varstvom osebnih podatkov so orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije.
    • Upravljavci izvedete oceno učinkov ko je možno, da bi določena vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. 
    • Priporočljivo je, da upravljavci izvedete oceno učinkov tudi pri večjih projektih, ki predvidevajo obdelavo osebnih podatkov.
    • Ocena učinka naj obsega:
      • sistematičen opis dejanj in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si upravljavci prizadevate;
      • oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
      • oceno tveganj za posameznike, na katere se nanašajo osebni podatki
      • ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov.
    • Za oceno tveganj je potrebno ugotoviti tako verjetnost kot resnost tveganj za pravice in svoboščine posameznika.
    • V pripravo ocen učinka je priporočljivo vključiti tudi pooblaščeno osebo za varstvo podatkov. Če se oceni kot primerno, se za mnenje zaprosi tudi relevantna strokovna združenja, zbornice, strokovnjake itd.
    • V primeru, da izvedena ocena učinkov identificira nesprejemljivo visoka tveganja, je potrebno opraviti predhodno posvetovanje z nadzornim organom.
    • Nadzorni organ v roku osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov.
    • Seznam obdelav, kdaj je ocena učinkov obvezna in kdaj ni (seznam se nahaja tukaj)
    • RELEVANTNI ČLENI UREDBE
      Uvodne določbe: 75, 76, 77, 84, 89, 90, 91, 92, 93, 94, 95
      Členi: 35, 36
    • OBVEZNO BRANJE Smernice o ocenah učinkov na varstvo podatkov, ki jih je pripravil Informacijski pooblaščenec na podlagi smernic Delovne skupine iz člena 29

Kaj je ocena učinkov v zvezi z varstvom osebnih podatkov?

Ocena učinkov je orodje za pravočasno identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavci pred obdelavo opravite oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. Ocena učinkov se lahko nanaša in izvede za posamezen proces obdelav osebnih podatkov ali pa na več procesov (podobnih) obdelav osebnih podatkov.

Ocena zajema vsaj:

a) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si upravljavci prizadevate;

b) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ter

d) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

Ocena učinkov je namenjena upravljanju s tveganji in njihovi minimizaciji. Ocena učinkov prinaša tudi druge pozitivne učinke, predvsem bi jo upravljavci, ki stremite k odgovornemu ravnanju z osebnimi podatki posameznikov, morali prepoznati kot orodje, ki je primarno v vašem interesu. Namenjeno je namreč pravočasni identifikaciji tveganj in sprejemu ustreznih ukrepov za obvladovanje tveganj, s čimer lahko upravljavci in obdelovalci preprečite, da bi prišlo do kršitve zakonodaje. Kršitve namreč prinašajo finančne kazni, obveznost poročanja o zaznanih kršitvah (v določenih primerih tudi obveščanje vseh prizadetih posameznikov), kar lahko vodi v zahtevne popravljalne ukrepe, sankcije, negativno publiciteto in izgubo zaupanja.

V katerih primerih je izvedba ocene učinkov obvezna?

Ocena učinkov ni obvezna splošno za vse upravljavce in za vse obdelave osebnih podatkov, temveč takrat, ko obstaja verjetnost, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Uredba v 35. členu določa izvedbo ocene učinkov v primerih:

a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

b) obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

c) obsežnega sistematičnega spremljanja javno dostopnega območja.

Ocene učinkov so posebej relevantne pri uvajanju novih tehnologij (dodatne usmeritve najdete v uvodnih določbah 71 in 91). V pomoč so vam lahko Smernice glede ocene učinka v zvezi z varstvom osebnih podatkov Delovne skupine za varstvo podatkov iz člena 29. Opozoriti je treba, da ne gre za končen seznam, saj lahko velika tveganja povzročijo tudi druge vrste obdelave, vendar je podanih nekaj kriterijev, ki naj bi pokazali, kdaj gre za visoka tveganja. Konkreten seznam obdelav, kdaj je ocena učinkov obvezna in kdaj ni obvezna sprejme posamezen nadzorni organ (seznam se nahaja tukaj) in jih posreduje Evropskemu odboru za varstvo podatkov.

Spodaj so navedeni nekateri kriteriji in primeri, kdaj se odločiti za oceno, potrebno je tudi upoštevati, da več kot je kriterijev izpolnjenih, večja je verjetnost, da bo ocena učinkov obvezna. Zlasti če sta izpolnjena dva ali več kriterijev.

Kriterij

Primeri

Evalvacija in razvrščanje posameznikov, vključno s profiliranjem in napovedovanjem
(usmeritev na uvodni določni 71 in 91)

  
  • odločanje o ustreznosti komitenta glede pridobitve kredita na podlagi podatkov v SISBONU in drugih podatkov
  • genetsko testiranje in ugotavljanje verjetnosti za nastanek določene bolezni
  • beleženje podatkov o vožnjah in ustvarjanje profilov voznikov za popust pri zavarovanju
 

Avtomatizirano odločanje s pravnimi ali podobnimi pomembnimi učinki

  
  • avtomatizirano odločanje o pridobitvi/zavrnitvi: stanovanjskega ali drugega kredita, denarne socialne omoči, štipendije, usposobljenosti za delo, zdravstvenega zavarovanja …
 

Sistematični nadzor
(zlasti primeri, kjer se posameznik ne more izogniti obdelavi njegovih podatkov ali se obdelave sploh ne zaveda) 

  
  • Beleženje registrskih tablic mimo vozečih vozil
  • Preverjanje uporabnikov bencinskega servisa s seznamom ubežnikov brez plačila
  • Videonadzor prireditve na javnem prostoru iz brezpilotnika
  • Videonadzor javnih površin
 

Posebne vrste osebnih podatkov in drugi podatki bolj občutljive narave

  
  • Zdravstveni podatki o pacientih v bolnišnici
  • Kazenske in prekrškovne evidence
  • Podatki o lokaciji, elektronski komunikaciji posameznika, spletne varnostne kopije podatkov posameznika, pametne naprave, ki beležijo aktivnosti posameznika
  • Podatki o varovankah v varnih hišah, o pripadnikih določene vere, članih drugih društev, ki zbirajo posebne vrste podatkov
 

Množičnost obdelave osebnih podatkov, podkriteriji:
-    število (ali delež) zadevnih posameznikov,
-    obseg podatkov,
-    trajanje ali stalnost obdelave,
-    geografski obseg obdelave.

  
  • Klubi zvestobe pri trgovcih
  • Podatki o uporabi elektronskih komunikacij pri operaterjih
  • Podatki o zavarovancih in škodnih primerih pri zavarovalnicah
  • Registri na državni ravni
  • Podatki o komitentih in njihovi uporabi bančnih storitev v bankah in hranilnicah
 

Primerjanje in kombiniranje različnih zbirk podatkov (npr. pridobljenih skozi različne aktivnosti upravljavca) in analitika na osnovi masovnih podatkov

  
  • Primerjanje podatkov o zavarovancih in podatkov o škodnih primerih pri zavarovalnici z namenom ugotavljanje deležev, trendov, vzročno-posledičnih povezav ipd.
  • Primerjanje podatkov o absentizmu in podatkov o spolu, starosti in izobrazbi zaposlenih
  • Primerjanje nakupovalnih navad in podatkov o gibanju kupcev
 

Obdelava podatkov ranljivih (skupin) posameznikov, kjer obstaja občutno nesorazmerje moči med upravljavcem in posameznikom.

  
  • Obdelava osebnih podatkov zaposlenih, otrok, psihičnih bolnikov, prosilcev za azil, migrantov, starejših, pacientov …
 

Inovativna uporaba obstoječih in novih tehnologij, katerih osebne in družbene posledice niso nujno dobro raziskane in poznane

  
  • Biometrijska prepoznava prstnih odtisov, obraza
  • Testiranje genetskih vzorcev 
  • Določene naprave in senzorji v okviru interneta stvari (npr. »pametne igrače«)
 

Obdelava, ki omejuje pravice posameznika ali obdelava podatkov, katere cilje je omogočiti ali preprečiti posamezniku dostop do storitev ali pogodbe

  
  • Obdelava podatkov o uporabi avtocestnega omrežja z elektronskim cestninjenjem
  • Predhodno preverjanje kreditne sposobnosti komitenta
 

 

Kdaj izvesti oceno učinkov?

Vedno pred obdelavo osebnih podatkov, kot to določa 35. člen Uredbe in uvodni določbi 90 in 93 in skladno s konceptoma vgrajenega in privzetega varstva podatkov. Osveževanje ocen učinkov v rednih intervalih, npr. vsaj na 3 leta, je dobra praksa, saj se v vmesnem času ob hitrih tehnoloških in družbenih spremembah, lahko pomembno spremenijo okoliščine obdelave osebnih podatkov.

Kako postopati, če se je obdelava osebnih podatkov pričela izvajati pred uporabo Uredbe?

Zahteve Uredbe glede izvedbe ocene učinkov stopijo v uporabo s 25. 5. 2018, Delovna skupina iz člena 29 in Informacijski pooblaščenec pa priporočata, da se ocene učinkov začnejo izvajati že prej. Če se je obdelava podatkov pričela pred 25. 5. 2018, pa je po tem datumu prišlo do pomembnih sprememb v tveganjih, naravi, obsegu, kontekstu ali namenih, je oceno učinkov potrebno izvesti. Večji nabor zbranih podatkov, dodatni nameni obdelave in druge okoliščin imajo namreč lahko pomembne vpliv na ustrezno pravno podlago, sorazmernost, varnost podatkov in druge pomembne vidike, zato je oceno učinkov treba izvesti. 

Kako izvesti oceno učinkov?

Prvi korak je ugotovitev, ali je izvedba ocene učinkov obvezna ali ne. Kriteriji in seznami, ki naj bi jih upoštevali pri tej odločitvi, so navedeni v Smernicah o ocenah učinkov na varstvo podatkov in seznamih nadzornih organov

Sledi korak same izvedbe ocene učinkov, kjer obstajajo različne metodologije. Uredba ne predpisuje uporabe določene metodologije za izvedbo ocene učinkov in upravljavcem pušča določeno mero fleksibilnosti glede izbire in uporabe metodologije. Ena najpomembnejših zahtev pa je, da to ni promocijski material, ki našteva cilje in prednosti določenega projekta, storitve ali procesa, temveč da gre primarno za oceno in upravljanje s tveganji. Nadzorni organi spodbujamo in priporočamo nastanek sektorsko-specifičnih metodologij za izvedbo ocene učinkov, saj so kot takšne lahko bolje prilagojene specifikam posameznega sektorja. Pri nas tako že imamo nekaj specifičnih okvirjev presoje vplivov na zasebnost, saj je Informacijski pooblaščenec že pred sprejemom Splošne uredbe o varstvu podatkov izdal smernice.

Upravljavci lahko sami izberete metodologijo za izvedbo ocene učinkov, vendar mora izvedba ocene učinkov ustrezati zahtevam, kot določa Uredba. Delovna skupina iz člena 29 je zato razvila kriterije, ki se lahko uporabijo za oceno, ali je ocena učinkov bila ustrezno izvedena, ki jih najdete tu​​​​​​​

Uredba določa minimalni nabor obveznih sestavin ocene učinkov (člen 35(7) in uvodni določbi 84 in 90), in sicer naj vsebuje:

 

  1. sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;
  2. oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
  3. oceno tveganj za pravice in svoboščine posameznikov, ter
  4. ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

Izvedba ocene učinkov v 4 fazah

Informacijski pooblaščenec priporoča, da se ocena učinkov izvede v štirih fazah:

Slika prikazuje izvedbo ocene učinkov v štirih fazah. V prvi fazi opišemo projekt. V drugi fazi ocenimo tveganja za kršitev zakonodaje. V tretji fazi določimo ukrepe za zmanjšanje tveganj. V četrti fazi uredimo zapise in dokumentacije v poročilo.

1. Opredelitev konteksta

Osebna izkaznica projekta, kjer so navedeni nabor podatkov in namen njihove obdelave, podatkovni tokovi, načini pridobivanja podatkov, načini in sredstva obdelave, udeleženi subjekti in rok hrambe podatkov. Kontekst projekta ni reklamni letak, ki opisuje prednosti projekta in njegove cilje!  

2. Analiza tveganj

Obsega identifikacijo možnih tveganj, pri čemer je potrebno tudi določiti raven verjetnosti (kolikšna je možnost, da se bo tveganje uresničilo) in raven resnosti (kako resne bodo posledice, če se tveganje uresniči). Vsota verjetnosti in resnosti predstavlja raven tveganja. Za ocene tveganj obstajajo številne metodologije in tudi prilagojena programska orodja (vsaj za področje informacijske varnosti). Izbira metodologije in orodij je prepuščena upravljavcem.

Ocena tveganja se izvede po temeljnih načelih varstva osebnih podatkov. Ključni deli ocene tveganj naj bi sledili vsem temeljnim načelom varstva osebnih podatkov, kot jih določa 5. člen Uredbe:

  • zakonitost, poštenost in preglednost,
  • omejitev namena,
  • najmanjši obseg podatkov,
  • točnost,
  • omejitev shranjevanja,
  • celovitost in zaupnost.

Temeljna načela varstva podatkov, ki naj bodo izhodišče za pripravo ocene tveganj so bolj podrobno opredeljena Smernicah za ocene učinkov na varstvo podatkov.

Slika prikazuje temeljna načela varstva osebnih podatkov: 1. zakonitost, poštenost in preglednost, 2. omejitev namena, 3. najmanjši obseg podatkov, 4. točnost, 5. omejitev shranjevanja, 6. celovitost in zaupnost (informacijska varnost).

3. Ukrepi za obvladovanje tveganj

Namen ukrepov je odprava ali vsaj ublažitev identificiranih tveganj na sprejemljivo raven. Vsem tveganjem se bomo težko izognili, a če njihovo raven znižamo na raven sprejemljivega, smo storili dovolj. Tudi ukrepe lahko razdelimo glede na temeljna načela varstva osebnih podatkov.

Če kljub predlaganim ukrepom, ostane raven ocenjenih tvegan še vedno visoka, je potrebno opraviti predhodno posvetovanje z nadzornim organom, ki je podrobneje opisano v nadaljevanju.

4. Priprava poročila

Če so prve tri faze izvedbe ocene učinkov ustrezno dokumentirane, nastanejo zapisi, ki jih lahko sistematično uredimo v poročilo. Iz poročila mora biti razvidno, da smo izvedli omenjene faze in da smo upoštevali vse kriterije, ki se zahtevajo, da je ocena učinkov ustrezna. Priporočljivo je, da ima poročilo povzetek in/ali zaključke in mora biti na voljo nadzornemu organu na njegovo zahtevo.  

Kdaj opraviti predhodno posvetovanje z nadzornim organom?

Upravljavci se pred obdelavo posvetuje z nadzornim organom, kadar je iz ocene učinka razvidno, da bi obdelava povzročila veliko tveganje, če upravljavci ne bi sprejeli ukrepov za ublažitev tveganja. Če so tveganja zmanjšana na sprejemljive ravni, ni potrebno predhodno posvetovanje.

Med primere nesprejemljivih visokih preostalih tveganj sodijo situacije, kjer:

  • lahko posamezniki utrpijo pomembne, celo trajne posledice zaradi zlorabe osebnih podatkov (npr. razkritje naslova varne hiše, javna objava podatka o bolezni ali spolni nagnjenosti, razkritje podatkov o zaščitenih pričah ipd.);
  • je zelo verjetno, da se bodo tveganja tudi uresničila zaradi predvidenih načinov obsežnega zbiranja in izmenjave podatkov (npr. večja verjetnost za napake in pomote).

V takšnih in podobnih primerih se mora upravljavec skladno z določbami 36. člena Uredbe posvetovati z nadzornim organom. Velja poudariti, da uporaba metod za psevdonimizacijo in šifriranje podatkov sama po sebi še ne pomeni, da so ti ukrepi zadostni in primerni. Obe metodi sta v Uredbi navedeni primeroma, imata svoje prednosti in slabosti, nista pa vsemogočni.

Upravljavec se mora posvetovati z nadzornim organom tudi takrat, ko:

  • to od njega zahteva zakonodaja,
  • potrebuje predhodno dovoljenje nadzornega organa.

Kadar nadzorni organ meni, da bi predvidena obdelava kršila to Uredbo, zlasti kadar upravljavci niste ustrezno opredelili ali ublažili tveganja, nadzorni organ v roku do osmih tednov (dodatnih 6 tednov v kompleksnih primerih) po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58 (npr. izrek opozorila).