Ietekmes analīzes (PIA, AIPD vai DPIA) nozīme

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

Iespējams, ka "datu aizsardzības ietekmes novērtējums" (DPIA) kļūs par GDPR simbolu (angļu valodā mēs runājam par DPIA, Data Protection Impact Assessment vai, saīsināti, PIA, Privacy Impact Assessment). Jebkurā gadījumā tas ir instruments, kas izvēlēts, lai sauktu pie atbildības uzņēmumus un novērstu to rīcību, kas kaitē patērētājiem. Pieprasot iepriekšēju darbu pirms jebkuras datu apstrādes darbības un, attiecīgā gadījumā, konsultācijas ar uzraudzības iestādi, tas sniedz nopietnu privātuma ievērošanas garantiju. 

Pirms apstrādes ir nepieciešams ietekmes novērtējums, "ja apstrādes veids, jo īpaši izmantojot jaunas tehnoloģijas, un ņemot vērā apstrādes raksturu, apmēru, kontekstu un mērķus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām" (35. panta 1. punkts). Ir precizēts, ka analīze var attiekties uz vairākām līdzīgām apstrādes darbībām, kas rada tāda paša veida augstu risku. No šiem noteikumiem var secināt, ka, ja nav "augsta riska" un/vai ja analīze jau ir veikta par līdzīgām darbībām, analīze nav obligāta (līdzīgi, ja apstrāde ir saistīta ar sabiedrības interešu uzdevumu, izņēmums jau ir minēts).

Jēdziens "augsts risks" nav skaidri definēts, bet CNIL precizē "privātuma apdraudējumu". Tas ir "scenārijs, kas apraksta: baidītu notikumu (neatļauta piekļuve, nevēlama datu modificēšana vai pazušana un tā iespējamā ietekme uz personu tiesībām un brīvībām); visus draudus, kas to varētu izraisīt. Tas tiek novērtēts pēc nopietnības un varbūtības pakāpes. Nopietnība jānovērtē attiecīgajām personām, nevis organizācijai." Tas ir pietiekami neskaidrs un plašs, lai uzskatītu, ka privātuma risks, tātad augsts, atbilst daudzām apstrādes darbībām.

35. panta 4. punktā ir noteikts, ka uzraudzības iestāde publicēs to darbību sarakstu, kurām nepieciešama analīze. Tikmēr G29 ir apvienojis dažādus GDPR punktus, lai izveidotu 9 kritēriju sarakstu (2017. gada 4. aprīļa vadlīnijas, grozītas 2017. gada 4. oktobrī), kas var liecināt, ka apstrādes darbība, visticamāk, radīs augstu risku:

– “novērtēšana vai vērtēšana, tostarp profilēšanas vai prognozēšanas darbības, kas jo īpaši attiecas uz “aspektiem, kas attiecas uz datu subjekta darba sniegumu, ekonomisko situāciju, veselību, personiskajām vēlmēm vai interesēm, uzticamību vai uzvedību, vai atrašanās vietu un pārvietošanos” (71. un 91. apsvērums)”;

– “automatizēta lēmumu pieņemšana ar juridisku vai līdzīgi būtisku ietekmi”;

– “sistemātiska uzraudzība”;

– “sensitīvi dati vai ļoti personiska rakstura dati”. Tas var ietvert informāciju par politiskajiem uzskatiem, notiesājošiem spriedumiem, medicīniskajiem ierakstiem, bet arī, kā norāda G29, e-pastus, dienasgrāmatas, piezīmes. Ja attiecīgā persona ir publiskojusi šāda veida datus, tas tiks ņemts vērā;

– “plašā mērogā apstrādāti dati”. Liela mēroga jēdziens nav precizēts, taču WG29 iesaka ņemt vērā attiecīgo personu skaitu, datu apjomu, apstrādes ilgumu un ģeogrāfisko darbības jomu;

– “datu kopu krustošana vai apvienošana”;

– “dati par neaizsargātām personām (75. apsvērums)”, t. i., bērniem, darbiniekiem, personām, kas cieš no garīgās veselības traucējumiem, patvēruma meklētājiem, vecāka gadagājuma cilvēkiem, pacientiem utt.;

– “jaunu tehnoloģisku vai organizatorisku risinājumu inovatīva izmantošana vai piemērošana”. G29 jo īpaši min pirkstu nospiedumu atpazīšanas un sejas atpazīšanas kombinētu izmantošanu jeb lietu internetu;

– apstrāde, kas “liedz datu subjektiem īstenot tiesības vai gūt labumu no pakalpojuma vai līguma”. G29 min piemēru par banku, kas pirms aizdevumu lēmumu pieņemšanas pārbaudītu savus klientus kredītreitingu datubāzē.

G29 uzskata, ka apstrādei, kas atbilst diviem no šiem deviņiem kritērijiem, ir nepieciešams DPIA (pat ja pietiktu ar vienu kritēriju). CNIL sniedz piemēru: "uzņēmums izveido savu darbinieku darbības uzraudzību, šī apstrāde atbilst sistemātiskas uzraudzības kritērijam un datu par neaizsargātām personām kritērijam, tāpēc būs nepieciešams DPIA ieviešana."

Analīzē jāiekļauj vismaz: paredzēto darbību apraksts, kā arī apstrādes mērķi, norāde par apstrādes mērķu samērīgumu attiecībā pret mērķiem, attiecīgo personu tiesību un brīvību risku novērtējums, kā arī pasākumi, kas paredzēti risku novēršanai. CNIL ietekmes analīzi balsta uz diviem pīlāriem: uz juridisku novērtējumu attiecībā uz “neapspriežamajiem” principiem un uz tehniskāku pētījumu par datu aizsardzības pasākumiem. Savās DPIA vadlīnijās (pašlaik pārskatīšanas procesā) tā iesaka piemērot GDPR plānu (norādīts šīs rindkopas sākumā); kad tās tiks atjauninātas, tās neapšaubāmi būs noderīgi rīki visiem, kam nepieciešams sagatavot šādu dokumentu.

Rodas jautājums, vai ietekmes novērtējums ir nepieciešams apstrādes darbībām, kas jau ir ieviestas, sākot ar 2018. gada 25. maiju. GDPR uz šo jautājumu neatbild, bet CNIL to dara. "Ietekmes novērtējums nebūs nepieciešams: apstrādes darbībām, kas iepriekš ir bijušas CNIL formalitāšu priekšmets pirms 2018. gada 25. maija; apstrādes darbībām, kas ir reģistrētas "datu aizsardzības un brīvību" korespondenta reģistrā." Tomēr pēc 3 gadiem regulāri īstenotām apstrādes darbībām būs jāveic ietekmes novērtējums, vienmēr "augsta riska" gadījumā datu subjektiem.  

Šo vadlīniju beigās CNIL pievieno šādu teikumu: "DAI ieviešana visos gadījumos ir laba prakse, kas veicina GDPR paredzēto materiālo nosacījumu ievērošanas procesu." Tā kā CNIL ir uzraudzības iestāde Francijā, šo padomu nevajadzētu ignorēt labas prakses kontekstā. Jo īpaši tāpēc, ka G29 norāda: "Ja rodas šaubas par nepieciešamību veikt DAI, ciktāl DAI ir svarīgs instruments datu pārziņiem, lai nodrošinātu atbilstību datu aizsardzības tiesību aktiem, G29 iesaka to veikt jebkurā gadījumā." Eiropas darba grupa visbeidzot piebilst, ka DAI ir obligāts, ja "saistītie riski ir mainījušies".

Tāpat arī norādes par speciālistiem, kuriem jāpiedalās ietekmes analīzes veikšanā, nav bezjēdzīgas: datu pārzinis (kas ir atbildīgs), apakšuzņēmējs, ja tāds ir, datu aizsardzības speciālists (redzēsim, kas viņš ir), projektu īpašnieki un projektu vadītāji, informācijas sistēmu drošības vadītājs, kā arī, iespējams, attiecīgās personas, ar kurām var sazināties, lai saņemtu viedokli, izmantojot anketu.

Ietekmes analīzes minimālo saturu nosaka GDPR 35. panta 7. punkts:

– paredzēto darbību un apstrādes mērķu sistemātisks apraksts;

– apstrādes darbību nepieciešamības un samērīguma novērtējums attiecībā pret mērķiem;

– attiecīgo personu tiesību un brīvību apdraudējuma novērtējums;

– paredzētie pasākumi risku novēršanai un atbilstības noteikumiem apliecinājuma sniegšanai.

G29 savā AIPD analīzes pielikumā sniedz metodoloģijas piemērus. CNIL tikko ir publicējusi rokasgrāmatas ar metodi un labākās prakses katalogu, kā arī atvērtā pirmkoda PIA programmatūru. Tāpēc vairs nav attaisnojumu jauno saistību neievērošanai.

Kad ietekmes novērtējums ir pabeigts, var sākt apstrādi vai arī pārzinim ir jāapspriežas ar uzraudzības iestādi “pirms apstrādes, ja saskaņā ar 35. pantu veiktais datu aizsardzības ietekmes novērtējums liecina, ka apstrāde radītu augstu risku, ja pārzinis neveiktu pasākumus riska mazināšanai” (36. panta 1. punkts). Tā paša panta 2. punktā ir noteikts, ka šādas iepriekšējas apspriešanās gadījumā uzraudzības iestādei ir 8 nedēļas (+6 sarežģītības gadījumos), lai sniegtu savu atzinumu.

Ietekmes novērtējumu var publicēt ar mērķi stiprināt uzticību uzņēmumam, taču tas nav pienākums.

Ietekmes novērtējuma neveikšana vai nepareizi veikts novērtējums var izraisīt naudas sodu līdz 10 miljoniem eiro vai, uzņēmumam, līdz 2,1 miljardam eiro no tā pasaules apgrozījuma, atkarībā no tā, kura summa ir lielāka.