Procjena učinka

Želite u svoje poslovanje uvesti novu tehnologiju? Prijeći na cloud, analizirati podatke, profilirati klijente? Opća uredba o zaštiti podataka (GDPR) u članku 35. propisuje dužnost voditelja obrade da prije predviđenih postupaka obrade provede procjenu njezina učinka na zaštitu osobnih podataka; ako je vjerojatno da će neka vrsta obrade prouzročiti visok rizik za prava i slobode pojedinaca. Uredba u istom članku navodi tri slučaja u kojima je procjena učinka na zaštitu podataka obvezna, a to su:

  1. Slučajevi sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi.
  2. Opsežne obrade posebnih kategorija osobnih podataka ili podataka u vezi s kaznenim osudama i kažnjivim djelima.
  3. Slučajevi sustavnog praćenja javno dostupnog područja u velikoj mjeri.

Međutim, ovaj popis nije iscrpan. Dužnost provedbe procjene učinka obrade generalno je formulirana te se odnosi na svaku obradu ako je vjerojatno da će prouzročiti visoki rizik za prava i slobode pojedinca.

Popis postupaka obrade

Kako bi se voditeljima obrade olakšala odluka za koju obradu će biti potrebno raditi procjenu učinka, propisana je dužnost nadzornog tijela svake države da uspostavi i javno objavi popis vrste postupka obrade koji obavezno podliježu zahtjevu za procjenu učinka na zaštitu podataka. No, javna objava takvog popisa ne smije se obaviti bez prethodnog mišljenja Europskog odbora za zaštitu podataka. Glavna zadaća navedenog odbora je da osigura dosljednu primjenu Uredbe u cijeloj Europskoj uniji. Ova dužnost nastala je u okviru mehanizma konzistentnosti koji Uredba uspostavlja te.

Iz tog razloga hrvatska Agencija za zaštitu osobnih podataka (AZOP, hrvatsko nadležno nadzorno tijelo) podnijela nacrt popisa Odboru u listopadu 2018. godine.

Mišljenje

Razmotrivši nacrt popisa koji je AZOP predala, Odbor je sastavio mišljenje o nacrtu popisa. Mišljenje se sastoji od četiri glavne točke:

  1. Odbor smatra da je analiza izvršena u Smjernicama Radne skupine 29. (Radna skupina koja je sada formirana u Europski odbor za zaštitu podataka) temeljni element za osiguranje dosljednosti diljem Europske unije. Stoga Odbor zahtjeva da nadzorna tijela u dokument koji sadrži popis dodaju izjavu kojom se objašnjava da je ta lista temeljena na navedenim Smjernicama. U svom dokumentu u kojem se nalazi popis, AZOP je naveo da je popis sastavljen uz analizu „Smjernica o procjeni učinka na zaštitu podataka“, što je odviše nejasno.
  2. AZOP u svom popisu navodi da obrada biometrijskih podataka sama po sebi potpada pod obvezu provođenja procjene učinka na zaštitu podataka. Odbor je mišljenja da obrada biometrijskih podataka ne predstavlja nužno visoki rizik sama za sebe. Međutim, obrada biometrijskih podatka radi jedinstvene identifikacije pojedinca zajedno s još nekim drugim kriterijem zahtjeva procjenu učinka na zaštitu podataka. Stoga, Odbor traži od AZOP-a da se: a) točka koja se odnosi na obradu biometrijskih podataka primjenjuje gdje je svrha obrade jedinstvena identifikacija pojedinca; b) da se procjena učinka na zaštitu podataka mora provoditi samo ako se obrada biometrijskih podataka obavlja zajedno s još barem jednim kriterijem iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01).
  3. Zahtjevi Odbora koji se tiču genetskih podataka jednaki su kao i oni koje je Odbor dao u vezi s biometrijskim podacima. Od AZOP-a se zahtjeva da se kod liste koja se tiče genetskih podataka navede da se odnosi na obradu podataka kojoj je svrha jedinstvena identifikacija pojedinca te da se procjena učinka mora provoditi samo ako je uz obradu genetskih podataka ispunjen još barem jedan kriterij iz Smjernica.
  4. Što se tiče obrade osobnih podataka koje stvaraju senzorni uređaji odašiljajući podatke preko Interneta ili neke druge tehnologije prijenosa informacija, Odbor je mišljenja da ona ne bi trebala biti kriterij koji vodi do obveze izvršavanja procjene učinka na zaštitu podataka. Nije vjerojatno da ovaj kriterij, sam ili uz neki drugi kriterij predstavlja visoki rizik za prava i slobode pojedinca.

Agencija za zaštitu osobnih podataka

AZOP je zahtjeve Odbora prihvatio te ugradio u svoju listu. Revidirana lista je objavljena 21. prosinca 2018.

Navedena lista, između ostalog, navodi da je obvezno procijeniti učinak na zaštitu podataka ako se radi o uporabi novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba.

Za više savjeta oko provođenja procjene učinka za zaštitu podataka nam se obratite s povjerenjem.

Marija Bošković Batarelo, LL.M. Pravo i tehnologija