Kdo, kdaj, zakaj in kako naj izvede ocene učinkov na varstvo osebnih podatkov - Upravljavec.si


  • oktober 23, 2019

Splošna uredba o varstvu podatkov daje velik poudarek preventivnim ukrepom varstva osebnih podatkov v okviru enega izmed temeljnih načel, načela odgovornosti (angl. accountability), ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev in obdelovalcev osebnih podatkov. Ocene učinkov v zvezi z varstvom podatkov (angl. Data Protection Impact Assessment, DPIA; v nadaljevanju: ocena učinkov), kot jih opredeljuje člen 35 Splošne uredbe o varstvu podatkov, predstavljajo enega ključnih konceptov v okviru načela odgovornosti.

Ocena učinkov je namenjena upravljanju s tveganji in njihovi minimizaciji. Ocena učinkov prinaša tudi druge pozitivne učinke, predvsem bi jo upravljavci, ki stremite k odgovornemu ravnanju z osebnimi podatki posameznikov, morali prepoznati kot orodje, ki je primarno v vašem interesu. Namenjeno je namreč pravočasni identifikaciji tveganj in sprejemu ustreznih ukrepov za obvladovanje tveganj, s čimer lahko upravljavci in obdelovalci preprečite, da bi prišlo do kršitve zakonodaje. Kršitve namreč prinašajo finančne kazni, obveznost poročanja o zaznanih kršitvah (v določenih primerih tudi obveščanje vseh prizadetih posameznikov), kar lahko vodi v zahtevne popravljalne ukrepe, sankcije, negativno publiciteto in izgubo zaupanja.

Ocena zajema vsaj:

a) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si upravljavci prizadevate;

b) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ter

d) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

Ocena učinkov ni obvezna splošno za vse upravljavce in za vse obdelave osebnih podatkov (je pa vseeno priporočljiva), temveč je obvezna takrat, ko obstaja verjetnost, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Informacijski pooblaščenec je sprejel seznam konkretnih obdelav osebnih podatkov, za katere je ocena učinkov obvezna. Seznam lahko najdete v smernicah o oceni učnikov na spodnji povezavi.

Informacijski pooblaščenec je posodobil smernice z naslovom Ocene učinkov na varstvo osebnih podatkov, ki naj vam bodo v pomoč pri izvedbi ocene učinkov. Smernice pojasnjujejo zakonske določbe in dajejo odgovore na kdo, kdaj, zakaj in kako naj izvede oceno učinkov:

https://www.ip-rs.si/publikacije/prirocniki-in-smernice/ocene-ucinkov-na-varstvo-podatkov/