Dôležitosť analýzy vplyvu (PIA alebo AIPD alebo DPIA)

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

Je možné, že „posúdenie vplyvu na ochranu údajov“ (DPIA) sa stane symbolom GDPR (v angličtine hovoríme DPIA, Data Protection Impact Assessment alebo skrátene PIA, Privacy Impact Assessment). V každom prípade je to nástroj zvolený na to, aby sa spoločnosti zodpovedne brali a zabránilo sa im konať v neprospech spotrebiteľov – občanov. Vyžadovaním predchádzajúcej práce pred akoukoľvek operáciou spracovania údajov a v prípade potreby konzultáciou s dozorným orgánom ponúka serióznu záruku rešpektovania súkromia. 

Posúdenie vplyvu sa vyžaduje pred spracovaním, „ak typ spracovania, najmä prostredníctvom použitia nových technológií, a berúc do úvahy povahu, rozsah, kontext a účely spracovania, pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb“ (článok 35-1). Uvádza sa, že analýza sa môže týkať niekoľkých podobných operácií spracovania, ktoré predstavujú rovnaký typ vysokých rizík. Z týchto ustanovení možno vyvodiť, že ak neexistuje „vysoké riziko“ a/alebo ak už bola vykonaná analýza pre podobné operácie, analýza nie je povinná (podobne, keď je spracovanie spojené s poslaním verejného záujmu, už uvedená výnimka).

Pojem „vysoké riziko“ nie je výslovne definovaný, ale CNIL špecifikuje pojem „riziko pre súkromie“. Ide o „scenár opisujúci: obávanú udalosť (neoprávnený prístup, nechcená zmena alebo zmiznutie údajov a jej potenciálny vplyv na práva a slobody jednotlivcov); všetky hrozby, ktoré by umožnili jej vznik. Odhaduje sa z hľadiska závažnosti a pravdepodobnosti. Závažnosť sa musí posudzovať pre dotknutých jednotlivcov, nie pre organizáciu.“ Toto je dostatočne vágne a široké na to, aby sa dalo predpokladať, že riziko pre súkromie, ktoré je teda vysoké, zodpovedá mnohým operáciám spracovania.

Článok 35-4 stanovuje, že dozorný orgán zverejní zoznam operácií, pre ktoré sa vyžaduje analýza. Medzitým skupina G29 spojila rôzne body GDPR, aby dospela k zoznamu 9 kritérií (usmernenia zo 4. apríla 2017, zmenené a doplnené 4. októbra 2017), ktoré môžu naznačovať, že operácia spracovania pravdepodobne predstavuje vysoké riziko:

– „hodnotenie alebo rating vrátane profilovacích alebo predikčných činností, ktoré sa týkajú najmä „aspektov týkajúcich sa pracovného výkonu dotknutej osoby, jej ekonomickej situácie, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, alebo miesta a pohybu“ (odôvodnenia 71 a 91)“;

– „automatizované rozhodovanie s právnym alebo podobne významným účinkom“;

– „systematické monitorovanie“;

– „citlivé údaje alebo údaje vysoko osobnej povahy“. Môže ísť o informácie týkajúce sa politických názorov, odsúdení za trestné činy, zdravotných záznamov, ale aj, ako uvádza G29, e-maily, denníky, poznámky. Ak dotknutá osoba zverejnila údaje tohto typu, bude sa to brať do úvahy;

– „údaje spracúvané vo veľkom rozsahu“. Pojem rozsiahleho rozsahu nie je špecifikovaný, ale WG29 odporúča zohľadniť počet dotknutých osôb, objem údajov, trvanie a geografický rozsah spracúvania;

– „kríženie alebo kombinovanie súborov údajov“;

– „údaje týkajúce sa zraniteľných osôb (odôvodnenie 75)“, t. j. deti, zamestnanci, osoby trpiace duševnými chorobami, žiadatelia o azyl, starší ľudia, pacienti atď.;

– „inovatívne využitie alebo aplikácia nových technologických alebo organizačných riešení“. Skupina G29 uvádza najmä kombinované využitie rozpoznávania odtlačkov prstov a rozpoznávania tváre alebo internet vecí;

– spracovanie, ktoré „bráni dotknutým osobám v uplatnení práva alebo v využívaní služieb či zmluvy“. Skupina G29 uvádza príklad banky, ktorá by pred rozhodnutím o poskytnutí úveru preverovala svojich zákazníkov v databáze úverového ratingu.

Skupina G29 sa domnieva, že spracovanie zodpovedajúce dvom z týchto deviatich kritérií si vyžaduje posúdenie vplyvu na ochranu údajov (aj keď môže stačiť jedno kritérium). CNIL uvádza príklad: „spoločnosť zavedie monitorovanie činnosti svojich zamestnancov, toto spracovanie spĺňa kritérium systematického monitorovania a kritérium údajov týkajúcich sa zraniteľných osôb, preto bude potrebné vykonať posúdenie vplyvu na ochranu údajov.“

Analýza musí obsahovať aspoň: opis plánovaných operácií, ako aj účely spracovania, uvedenie primeranosti prvých vo vzťahu k druhým, posúdenie rizík pre práva a slobody dotknutých osôb, opatrenia plánované na riešenie týchto rizík. CNIL zakladá analýzu vplyvu na dvoch pilieroch: právnejšom posúdení týkajúcom sa „nevyjednávateľných“ zásad a technickejšej štúdii o opatreniach plánovaných na ochranu údajov. Vo svojich príručkách DPIA (v súčasnosti v procese revízie) navrhuje uplatňovať plán GDPR (uvedený na začiatku tohto odseku); po aktualizácii budú nepochybne užitočnými nástrojmi pre všetkých, ktorí potrebujú takýto dokument pripraviť.

Vynára sa otázka, či je posúdenie vplyvu potrebné pre operácie spracovania, ktoré už boli vykonané k 25. máju 2018. GDPR na túto otázku neodpovedá, ale CNIL áno. „Posúdenie vplyvu sa nebude vyžadovať pre: operácie spracovania, ktoré boli predmetom predchádzajúcej formality s CNIL pred 25. májom 2018; operácie spracovania, ktoré boli zaznamenané v registri korešpondenta pre „ochranu údajov a slobody“. Po 3 rokoch však budú musieť byť operácie spracovania vykonávané pravidelne predmetom posúdenia vplyvu, vždy v prípade „vysokého rizika“ pre dotknuté osoby.  

V spodnej časti týchto usmernení CNIL pridáva nasledujúcu vetu: „Vykonanie DPIA predstavuje vo všetkých prípadoch osvedčený postup uľahčujúci proces dodržiavania hmotnoprávnych podmienok stanovených v GDPR.“ Keďže CNIL je dozorným orgánom vo Francúzsku, toto odporúčanie by sa nemalo prehliadať z hľadiska osvedčených postupov. Najmä preto, že G29 uvádza: „V prípade pochybností o potrebe vykonať DPIA, pokiaľ sú DPIA dôležitým nástrojom pre prevádzkovateľov údajov na dodržiavanie právnych predpisov o ochrane údajov, G29 odporúča vykonať ho bez ohľadu na to.“ Európska pracovná skupina nakoniec dodáva, že DPIA je povinné, keď „sa vyvinuli súvisiace riziká“.

Rovnako nie sú zbytočné ani jeho údaje týkajúce sa odborníkov, ktorí sa musia zúčastniť na vykonávaní analýzy vplyvu: prevádzkovateľ údajov (ktorý je zodpovedný), prípadný subdodávateľ, zodpovedná osoba pre ochranu údajov (uvidíme, kto to je), vlastníci projektov a projektoví manažéri, manažér bezpečnosti informačných systémov, ako aj prípadne dotknuté osoby, s ktorými sa možno opýtať na ich názor prostredníctvom dotazníka.

Článok 35-7 GDPR definuje minimálny obsah analýzy vplyvu:

– systematický opis plánovaných operácií a účelov spracovania;

– posúdenie nevyhnutnosti a primeranosti operácií spracovania vo vzťahu k účelom;

– posúdenie rizík pre práva a slobody dotknutých osôb;

– opatrenia plánované na riešenie rizík a poskytnutie dôkazu o súladu s predpismi.

Skupina G29 uvádza príklady metodológie v dodatku k svojej analýze AIPD. CNIL práve zverejnila príručky s metódou a katalógom osvedčených postupov, ako aj softvér s otvoreným zdrojovým kódom PIA. Preto už neexistujú žiadne výhovorky na nedodržiavanie nových povinností.

Po dokončení posúdenia vplyvu sa môže začať so spracovaním, alebo sa prevádzkovateľ musí poradiť s dozorným orgánom „pred spracovaním, ak posúdenie vplyvu na ochranu údajov vykonané podľa článku 35 naznačuje, že spracovanie by predstavovalo vysoké riziko, ak by prevádzkovateľ neprijal opatrenia na zmiernenie rizika“ (článok 36-1). Odsek 2 toho istého článku stanovuje, že v prípade takejto predchádzajúcej konzultácie má dozorný orgán 8 týždňov (+6 v prípadoch zložitosti) na vydanie stanoviska.

Posúdenie vplyvu môže byť zverejnené s cieľom posilniť dôveru v spoločnosť, ale nie je to povinnosť.

Nevykonanie posúdenia vplyvu alebo nesprávne vykonané posúdenie môže mať za následok pokutu až do výšky 10 miliónov eur alebo v prípade spoločnosti 2,1 miliardy eur z jej celosvetového obratu, podľa toho, ktorá suma je vyššia.