Mõjuanalüüsi (PIA, AIPD või DPIA) olulisus

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

On võimalik, et „andmekaitse mõjuhinnangust” (DPIA) saab isikuandmete kaitse üldmääruse (GDPR) sümbol (inglise keeles räägime DPIA-st, andmekaitse mõjuhinnangust või lühidalt PIA-st, privaatsuse mõjuhinnangust). Igal juhul on see vahend, mis on valitud ettevõtete vastutusele võtmiseks ja nende tarbijate kahjuks tegutsemise takistamiseks. Nõudes enne mis tahes andmetöötlustoimingut eelnevat tööd ja vajaduse korral konsulteerimist järelevalveasutusega, pakub see tõsist privaatsuse austamise garantiid. 

Mõjuhinnang on nõutav enne töötlemist, „kui teatud tüüpi töötlemine, eelkõige uute tehnoloogiate kasutamine ning võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärke, võib kujutada endast suurt ohtu füüsiliste isikute õigustele ja vabadustele“ (artikkel 35-1). On täpsustatud, et analüüs võib hõlmata mitut sarnast töötlemistoimingut, mis kujutavad endast sama tüüpi suurt ohtu. Nendest sätetest võib järeldada, et kui „suurt ohtu“ ei ole ja/või kui sarnaste toimingute kohta on analüüs juba tehtud, ei ole analüüs kohustuslik (sarnaselt juhul, kui töötlemine on seotud avaliku huvi ülesandega, erand on juba märgitud).

Mõistet „kõrge risk” ei ole otseselt määratletud, kuid CNIL täpsustab mõistet „privaatsusele avalduv oht”. See on „stsenaarium, mis kirjeldab kardetud sündmust (volitamata juurdepääs, soovimatu muutmine või kadumine andmetele ning selle võimalik mõju üksikisikute õigustele ja vabadustele); kõiki ohte, mis võimaldaksid sellel aset leida. Selle raskusastet hinnatakse raskusastme ja tõenäosuse alusel. Raskust tuleb hinnata asjaomaste üksikisikute, mitte organisatsiooni jaoks.” See on piisavalt ebamäärane ja lai, et eeldada, et privaatsusele avalduv oht, seega kõrge, vastab paljudele töötlemistoimingutele.

Artikli 35 lõike 4 kohaselt avaldab järelevalveasutus loetelu toimingutest, mille puhul on vaja analüüsi. Vahepeal on G29 ühendanud isikuandmete kaitse üldmääruse erinevad punktid, et koostada 9 kriteeriumi loetelu (4. aprilli 2017. aasta suunised, muudetud 4. oktoobril 2017), mis võivad viidata sellele, et töötlemistoiming tekitab tõenäoliselt suure riski:

– „hindamine või reitingu koostamine, sealhulgas profiilianalüüs või prognoosimine, mis on seotud eelkõige „andmesubjekti töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise või asukoha ja liikumisega seotud aspektidega“ (põhjendused 71 ja 91)“;

– „automaatne otsuste tegemine, millel on õiguslik või samaväärne oluline mõju“;

– „süstemaatiline jälgimine”;

– „tundlikud andmed või väga isikliku iseloomuga andmed“. See võib hõlmata teavet poliitiliste vaadete, süüdimõistvate kohtuotsuste ja meditsiiniliste andmete kohta, aga ka, nagu ütleb G29, e-kirju, päevikuid ja märkmeid. Kui asjaomane isik on seda tüüpi andmeid avalikustanud, võetakse seda arvesse;

– „laias ulatuses töödeldud andmed”. Laias ulatuses töötlemise mõistet ei ole täpsustatud, kuid WG29 soovitab võtta arvesse asjaomaste inimeste arvu, andmete mahtu, töötlemise kestust ja geograafilist ulatust;

– „andmekogumite ristumine või kombineerimine”;

– „haavatavate isikute andmed (põhjendus 75)“, st lapsed, töötajad, vaimuhaigusega isikud, varjupaigataotlejad, eakad, patsiendid jne;

– „uute tehnoloogiliste või organisatsiooniliste lahenduste uuenduslik kasutamine või rakendamine“. G29 toob eelkõige välja sõrmejäljetuvastuse ja näotuvastuse kombineeritud kasutamise ehk asjade interneti;

– töötlemine, mis „takistab andmesubjektidelt õiguse teostamist või teenusest või lepingust kasu saamist“. G29 toob näiteks panga, mis enne laenuotsuste tegemist kontrolliks oma kliente krediidireitingute andmebaasi alusel.

G29 leiab, et kahele neist üheksast kriteeriumist vastav töötlemine nõuab andmekaitsealase mõjuhinnangu tegemist (isegi kui piisab ühest kriteeriumist). CNIL toob näite: „ettevõte seab sisse oma töötajate tegevuse jälgimise ning see töötlemine vastab süstemaatilise jälgimise ja haavatavaid isikuid puudutavate andmete kriteeriumile, mistõttu on vaja andmekaitsealase mõjuhinnangut.“

Analüüs peab sisaldama vähemalt järgmist: kavandatud toimingute ja töötlemise eesmärkide kirjeldus, esimese proportsionaalsuse märge viimase suhtes, asjaomaste isikute õigustele ja vabadustele avalduvate riskide hindamine ning riskide maandamiseks kavandatud meetmed. CNIL tugineb mõjuanalüüsis kahele sambale: õiguslikum hindamine „mittevaidlustatavate” põhimõtete kohta ja tehnilisem uuring andmete kaitsmiseks kavandatud meetmete kohta. Oma andmekaitsealase mõjuhinnangu juhendites (mis on praegu läbivaatamisel) soovitab ta kohaldada isikuandmete kaitse üldmääruse kava (näidatud käesoleva lõigu alguses); kui neid ajakohastatakse, on need kahtlemata kasulikud tööriistad kõigile, kes peavad sellist dokumenti koostama.

Tekib küsimus, kas mõjuhinnang on vajalik töötlemistoimingute puhul, mis on juba rakendatud alates 25. maist 2018. Isikuandmete kaitse üldmäärus (GDPR) sellele küsimusele vastust ei anna, kuid CNIL küll. „Mõjuhinnangut ei nõuta järgmiste töötlemistoimingute puhul: töötlemistoimingud, mis on enne 25. maid 2018 CNIL-iga eelnevalt formaalsused läbinud; töötlemistoimingud, mis on registreeritud andmekaitse ja -vabaduste korrespondendi registris.“ Kolme aasta pärast tuleb aga regulaarselt rakendatavate töötlemistoimingute puhul teha mõjuhinnang, alati juhul, kui tegemist on andmesubjektidele „kõrge riskiga“.  

Nende suuniste lõppu lisab CNIL järgmise lause: „DPIA rakendamine on igal juhul hea tava, mis hõlbustab isikuandmete kaitse üldmääruses sätestatud sisuliste tingimuste järgimise protsessi.“ Kuna CNIL on Prantsusmaal järelevalveasutus, ei tohiks seda nõuannet hea tava seisukohast tähelepanuta jätta. Eriti kuna G29 märgib: „Kui on kahtlusi DPIA läbiviimise vajaduses, siis niivõrd, kuivõrd DPIA on andmetöötlejatele oluline vahend andmekaitsealaste õigusaktide järgimiseks, soovitab G29 seda teha olenemata sellest.“ Euroopa töörühm lisab lõpuks, et DPIA on kohustuslik, kui „seotud riskid on muutunud“.

Samuti ei ole kasutud selle juhised mõjuanalüüsi läbiviimises osalevate spetsialistide kohta: andmetöötleja (kes vastutab), alltöövõtja (kui see on olemas), andmekaitseametnik (näeme, kes ta on), projekti omanikud ja projektijuhid, infosüsteemide turbejuht ning võimalusel ka asjaomased isikud, kelle arvamuse saamiseks saab küsida küsimustiku abil.

Mõjuanalüüsi minimaalne sisu on määratletud isikuandmete kaitse üldmääruse artikli 35 lõike 7 punktis:

– kavandatud toimingute ja töötlemise eesmärkide süstemaatiline kirjeldus;

– töötlemistoimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkidega võrreldes;

– asjaomaste isikute õigusi ja vabadusi ohustavate riskide hindamine;

– riskide maandamiseks ja eeskirjade järgimise tõendamiseks kavandatud meetmed.

G29 esitab AIPD analüüsi lisas metoodika näiteid. CNIL avaldas äsja juhendid koos meetodi ja parimate tavade kataloogiga ning avatud lähtekoodiga PIA tarkvara. Seega pole enam vabandusi uute kohustuste mittetäitmiseks.

Kui mõjuhinnang on lõpule viidud, võib töötlemine alata või peab vastutav töötleja konsulteerima järelevalveasutusega „enne töötlemist, kui artikli 35 kohaselt läbi viidud andmekaitsealane mõjuhinnang näitab, et töötlemine kujutaks endast suurt ohtu, kui vastutav töötleja ei võtaks meetmeid riski leevendamiseks“ (artikkel 36-1). Sama artikli lõikes 2 on sätestatud, et sellise eelneva konsulteerimise korral on järelevalveasutusel arvamuse esitamiseks aega 8 nädalat (+6 keerulistel juhtudel).

Mõjuhinnangu võib avaldada eesmärgiga tugevdada usaldust ettevõtte vastu, kuid see ei ole kohustus.

Mõjuhinnangu tegemata jätmine või valesti läbiviidud hindamine võib kaasa tuua kuni 10 miljoni euro suuruse trahvi või ettevõtte puhul 2,1 miljardi euro suuruse trahvi tema ülemaailmsest käibest, olenevalt sellest, kumb on suurem.