Važnost analize utjecaja (PIA ili AIPD ili DPIA)

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

Moguće je da će „procjena utjecaja na zaštitu podataka“ (DPIA) postati simbol GDPR-a (na engleskom se kaže DPIA, Data Protection Impact Assessment, ili skraćeno PIA, Privacy Impact Assessment). U svakom slučaju, to je alat odabran za pozivanje tvrtki na odgovornost i sprječavanje njihovog djelovanja na štetu potrošača, građana. Zahtijevanjem prethodnog rada prije bilo kakve obrade podataka i, gdje je to primjereno, konzultacija s nadzornim tijelom, nudi ozbiljno jamstvo poštovanja privatnosti. 

Procjena učinka potrebna je prije obrade „kada vrsta obrade, posebno korištenjem novih tehnologija, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, vjerojatno rezultira visokim rizikom za prava i slobode pojedinaca“ (čl. 35-1). Navedeno je da se analiza može odnositi na nekoliko sličnih operacija obrade koje predstavljaju istu vrstu visokih rizika. Iz ovih odredbi može se zaključiti da ako ne postoji „visoki rizik“ i/ili ako je analiza već provedena za slične operacije, analiza nije obvezna (slično kada je obrada povezana s misijom od javnog interesa, iznimka je već navedena).

Pojam „visokog rizika“ nije izričito definiran, ali CNIL specificira pojam „rizika za privatnost“. To je „scenarij koji opisuje: strah od događaja (neovlašteni pristup, neželjena izmjena ili nestanak podataka i njegovi potencijalni utjecaji na prava i slobode pojedinaca); sve prijetnje koje bi omogućile da se on dogodi. Procjenjuje se u smislu ozbiljnosti i vjerojatnosti. Ozbiljnost se mora procijeniti za dotične pojedince, a ne za organizaciju.“ Ovo je dovoljno nejasno i široko da se smatra da rizik za privatnost, stoga visok, odgovara mnogim operacijama obrade.

Članak 35-4 propisuje da će nadzorno tijelo objaviti popis operacija za koje je potrebna analiza. U međuvremenu, G29 je kombinirao različite točke GDPR-a kako bi došao do popisa od 9 kriterija (smjernice od 4. travnja 2017., izmijenjene 4. listopada 2017.), koji mogu sugerirati da će operacija obrade vjerojatno generirati visok rizik:

– „procjena ili ocjenjivanje, uključujući aktivnosti profiliranja ili predviđanja, koje se posebno odnose na „aspekte koji se odnose na radni učinak ispitanika, ekonomsku situaciju, zdravlje, osobne preferencije ili interese, pouzdanost ili ponašanje ili lokaciju i kretanje“ (uvodne izjave 71. i 91.)“;

– „automatizirano donošenje odluka s pravnim ili slično značajnim učinkom“;

– „sustavno praćenje“;

– „osjetljivi podaci ili podaci vrlo osobne prirode“. To može uključivati informacije o političkim mišljenjima, kaznenim osudama, medicinskim kartonima, ali i, kako kaže G29, e-poruke, dnevnike, bilješke. Ako je dotična osoba javno objavila podatke ove vrste, to će se uzeti u obzir;

– „podaci obrađeni u velikom opsegu“. Pojam velikog opsega nije specificiran, ali WG29 preporučuje uzimanje u obzir broja dotičnih osoba, količine podataka, trajanja i zemljopisnog opsega obrade;

– „križanje ili kombiniranje skupova podataka“;

– „podaci o ranjivim osobama (uvodna izjava 75)“, tj. djeca, zaposlenici, osobe koje pate od duševnih bolesti, tražitelji azila, starije osobe, pacijenti itd.;

– „inovativna upotreba ili primjena novih tehnoloških ili organizacijskih rješenja“. G29 posebno navodi kombiniranu upotrebu prepoznavanja otiska prsta i lica ili Internet stvari;

– obrada koja „sprečava ispitanike da ostvare pravo ili koriste uslugu ili ugovor“. G29 navodi primjer banke koja bi provjeravala svoje klijente u bazi podataka o kreditnom rejtingu prije donošenja odluka o kreditiranju.

G29 smatra da obrada koja odgovara dvama od ovih devet kriterija zahtijeva DPIA (čak i ako je dovoljan samo jedan kriterij). CNIL navodi primjer: „tvrtka uspostavlja praćenje aktivnosti svojih zaposlenika, ta obrada ispunjava kriterij sustavnog praćenja i kriterij podataka koji se odnose na ranjive osobe, stoga će provedba DPIA biti potrebna.“

Analiza mora sadržavati barem: opis predviđenih operacija kao i svrhe obrade, naznaku proporcionalnosti prvih u odnosu na potonje, procjenu rizika za prava i slobode dotičnih osoba, te mjere predviđene za rješavanje rizika. CNIL temelji analizu učinka na dva stupa: pravnijoj procjeni u vezi s načelima „nepregovaranja“ i tehničkoj studiji o mjerama predviđenim za zaštitu podataka. U svojim vodičima za DPIA (koji su trenutno u reviziji) predlaže primjenu plana GDPR-a (naveden na početku ovog stavka); kada se ažuriraju, nesumnjivo će biti korisni alati za sve one koji trebaju pripremiti takav dokument.

Postavlja se pitanje je li procjena učinka potrebna za postupke obrade koji su već provedeni od 25. svibnja 2018. GDPR ne odgovara na ovo pitanje, ali CNIL odgovara. „Procjena učinka neće biti potrebna za: postupke obrade koji su bili predmet prethodne formalnosti s CNIL-om prije 25. svibnja 2018.; postupke obrade koji su zabilježeni u registru dopisnika za „zaštitu podataka i slobode“. Međutim, nakon 3 godine, postupci obrade koji se redovito provode morat će biti predmet procjene učinka, uvijek u slučaju „visokog rizika“ za ispitanike.  

Na dnu ovih smjernica, CNIL dodaje sljedeću rečenicu: „Provedba DPIA-e u svim slučajevima predstavlja dobru praksu koja olakšava proces usklađenosti s bitnim uvjetima predviđenim GDPR-om.“ Budući da je CNIL nadzorno tijelo u Francuskoj, ovaj savjet ne treba zanemariti u smislu dobre prakse. Pogotovo jer G29 navodi: „U slučaju sumnje u potrebu za provedbom DPIA-e, u mjeri u kojoj su DPIA-e važan alat za kontrolore podataka kako bi se uskladili sa zakonodavstvom o zaštiti podataka, G29 preporučuje provedbu iste bez obzira na to.“ Europska radna skupina na kraju dodaje da je DPIA-a obvezna kada su se „povezani rizici razvili“.

Isto tako, nisu beskorisne ni naznake o stručnjacima koji moraju sudjelovati u provođenju analize utjecaja: voditelj obrade podataka (koji je odgovoran), podizvođač ako postoji, službenik za zaštitu podataka (vidjet ćemo tko je to), vlasnici i voditelji projekata, voditelj sigurnosti informacijskih sustava, kao i eventualno dotične osobe, s kojima se može konzultirati za mišljenje putem upitnika.

Članak 35-7 GDPR-a definira minimalni sadržaj analize utjecaja:

– sustavni opis predviđenih operacija i svrhe obrade;

– procjenu nužnosti i razmjernosti postupaka obrade u odnosu na svrhe;

– procjenu rizika za prava i slobode dotičnih osoba;

– mjere predviđene za rješavanje rizika i pružanje dokaza o usklađenosti s propisima.

G29 navodi primjere metodologije u dodatku svojoj analizi AIPD-a. CNIL je upravo objavio vodiče s metodom i katalogom najboljih praksi, kao i softverom otvorenog koda za PIA. Stoga više nema izgovora za nepoštivanje novih obveza.

Nakon što je procjena učinka dovršena, obrada može započeti ili se voditelj obrade mora konzultirati s nadzornim tijelom „prije obrade ako procjena učinka na zaštitu podataka provedena prema članku 35. ukazuje na to da bi obrada predstavljala visok rizik ako voditelj obrade ne bi poduzeo mjere za ublažavanje rizika“ (čl. 36-1). Stavak 2. istog članka propisuje da u slučaju takvog prethodnog savjetovanja nadzorno tijelo ima 8 tjedana (+6 u slučajevima složenosti) da da svoje mišljenje.

Procjena učinka može se objaviti s ciljem jačanja povjerenja u tvrtku, ali to nije obveza.

Neprovođenje procjene učinka ili nepravilno provedena procjena može rezultirati kaznom do 10 milijuna eura ili, za tvrtku, 2,1 milijardu eura njezina globalnog prometa, ovisno o tome što je veće.