Pomen analize učinka (PIA ali AIPD ali DPIA)

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

Možno je, da bo »ocena vpliva na varstvo podatkov« (DPIA) postala simbol GDPR (v angleščini govorimo o DPIA, Data Protection Impact Assessment ali, na kratko, PIA, Privacy Impact Assessment). V vsakem primeru je to orodje, izbrano za odgovornost podjetij in preprečevanje njihovega delovanja v škodo potrošnikov in državljanov. Z zahtevo po predhodnem delu pred vsakim postopkom obdelave podatkov in po potrebi posvetovanjem z nadzornim organom ponuja resno jamstvo za spoštovanje zasebnosti. 

Pred obdelavo je potrebna ocena učinka, „kadar vrsta obdelave, zlasti z uporabo novih tehnologij, in ob upoštevanju narave, obsega, konteksta in namenov obdelave, verjetno povzroči veliko tveganje za pravice in svoboščine posameznikov“ (člen 35-1). Določeno je, da se analiza lahko nanaša na več podobnih postopkov obdelave, ki predstavljajo enako vrsto visokih tveganj. Iz teh določb je mogoče sklepati, da če ni „visokega tveganja“ in/ali če je bila analiza za podobne postopke že opravljena, analiza ni obvezna (podobno velja, kadar je obdelava povezana z nalogo javnega interesa, izjema je bila že omenjena).

Pojem „visoko tveganje“ ni izrecno opredeljen, vendar CNIL opredeljuje pojem „tveganje za zasebnost“. To je „scenarij, ki opisuje: strah vzbujajoč dogodek (nepooblaščen dostop, neželena sprememba ali izginotje podatkov in njegovi morebitni vplivi na pravice in svoboščine posameznikov); vse grožnje, ki bi omogočile njegov nastanek. Oceni se glede na resnost in verjetnost. Resnost je treba oceniti za zadevne posameznike, ne za organizacijo.“ To je dovolj nejasno in široko, da se lahko šteje, da tveganje za zasebnost, ki je torej visoko, ustreza številnim operacijam obdelave.

Člen 35-4 določa, da bo nadzorni organ objavil seznam operacij, za katere je potrebna analiza. Medtem je skupina G29 združila različne točke GDPR, da bi oblikovala seznam 9 meril (smernice z dne 4. aprila 2017, spremenjene 4. oktobra 2017), ki lahko nakazujejo, da bo postopek obdelave verjetno ustvaril visoko tveganje:

– „ocenjevanje ali razvrščanje, vključno z dejavnostmi profiliranja ali napovedovanja, ki se nanašajo zlasti na ‚vidike v zvezi z delovno uspešnostjo posameznika, na katerega se nanašajo osebni podatki, njegovim ekonomskim položajem, zdravjem, osebnimi preferencami ali interesi, zanesljivostjo ali vedenjem ali lokacijo in gibanjem‘ (uvodni izjavi 71 in 91)“;

– „avtomatizirano odločanje s pravnim ali podobno pomembnim učinkom“;

– „sistematično spremljanje“;

– „občutljivi podatki ali podatki zelo osebne narave“. To lahko vključuje informacije o političnih mnenjih, kazenskih obsodbah, zdravstvenih kartotekah, pa tudi, kot pravi G29, e-pošto, dnevnike, zapiske. Če je zadevna oseba javno objavila te podatke, se bo to upoštevalo;

– „podatki, obdelani v velikem obsegu“. Pojem velikega obsega ni natančno opredeljen, vendar WG29 priporoča upoštevanje števila zadevnih oseb, količine podatkov, trajanja in geografskega obsega obdelave;

– „križanje ali združevanje naborov podatkov“;

– „podatki o ranljivih osebah (uvodna izjava 75)“, tj. otroci, zaposleni, osebe z duševnimi boleznimi, prosilci za azil, starejši, pacienti itd.;

– „inovativna uporaba ali uporaba novih tehnoloških ali organizacijskih rešitev“. Skupina G29 navaja zlasti kombinirano uporabo prepoznavanja prstnih odtisov in obraza oziroma interneta stvari;

– obdelava, ki „posameznikom, na katere se nanašajo osebni podatki, preprečuje uveljavljanje pravice ali koriščenje storitve ali pogodbe“. Skupina G29 navaja primer banke, ki bi svoje stranke pred sprejetjem odločitev o posojilu preverila v zbirki podatkov o kreditnih ocenah.

Skupina G29 meni, da obdelava, ki ustreza dvema od teh devetih meril, zahteva oceno učinka na varstvo podatkov (tudi če zadostuje eno samo merilo). CNIL navaja primer: „podjetje vzpostavi spremljanje dejavnosti svojih zaposlenih, ta obdelava izpolnjuje merilo sistematičnega spremljanja in merilo podatkov o ranljivih osebah, zato bo izvedba ocene učinka na varstvo podatkov potrebna.“

Analiza mora vsebovati vsaj: opis predvidenih operacij in namenov obdelave, navedbo sorazmernosti prvih v primerjavi s slednjimi, oceno tveganj za pravice in svoboščine zadevnih oseb ter predvidene ukrepe za obravnavo tveganj. CNIL analizo učinka opira na dva stebra: bolj pravno oceno v zvezi z načeli „nepogajanj“ in bolj tehnično študijo o predvidenih ukrepih za varstvo podatkov. V svojih smernicah za oceno učinka (ki so trenutno v reviziji) predlaga uporabo načrta GDPR (naveden na začetku tega odstavka); ko bodo posodobljeni, bodo nedvomno koristna orodja za vse, ki morajo pripraviti tak dokument.

Postavlja se vprašanje, ali je ocena učinka potrebna za postopke obdelave, ki so bili že izvedeni od 25. maja 2018. GDPR na to vprašanje ne odgovarja, ga pa CNIL. "Ocena učinka ne bo potrebna za: postopke obdelave, ki so bili pred 25. majem 2018 predmet predhodne formalnosti pri CNIL; postopke obdelave, ki so bili vpisani v register korespondenta za "varstvo podatkov in svoboščine"." Po treh letih pa bodo morali biti redno izvajani postopki obdelave predmet ocene učinka, vedno v primeru "visokega tveganja" za posameznike, na katere se nanašajo osebni podatki.  

Na dnu teh smernic CNIL dodaja naslednji stavek: »Izvajanje ocene učinka na varstvo podatkov v vseh primerih predstavlja dobro prakso, ki olajša postopek skladnosti z vsebinskimi pogoji, določenimi v GDPR.« Ker je CNIL nadzorni organ v Franciji, tega nasveta ne smemo spregledati v smislu dobre prakse. Še posebej ker skupina G29 navaja: »V primeru dvoma o potrebi po izvedbi ocene učinka na varstvo podatkov, kolikor so ocene učinka na varstvo podatkov pomembno orodje za upravljavce podatkov za skladnost z zakonodajo o varstvu podatkov, skupina G29 priporoča, da se to ne glede na vse to izvede.« Evropska delovna skupina na koncu dodaja, da je ocena učinka na varstvo podatkov obvezna, ko »so se povezana tveganja razvila«.

Prav tako niso neuporabne navedbe glede strokovnjakov, ki morajo sodelovati pri izvedbi analize učinka: upravljavec podatkov (ki je odgovoren), podizvajalec, če obstaja, pooblaščena oseba za varstvo podatkov (pogledali bomo, kdo je), lastniki in vodje projektov, vodja varnosti informacijskih sistemov ter morebiti zadevne osebe, s katerimi se je mogoče posvetovati za mnenje z vprašalnikom.

Člen 35-7 GDPR določa minimalno vsebino analize učinka:

– sistematičen opis predvidenih operacij in namenov obdelave;

– oceno nujnosti in sorazmernosti postopkov obdelave glede na namene;

– oceno tveganj za pravice in svoboščine zadevnih oseb;

– predvidene ukrepe za obravnavo tveganj in dokazilo o skladnosti s predpisi.

Skupina G29 v dodatku k svoji analizi AIPD navaja primere metodologije. CNIL je pravkar objavila priročnike z metodo in katalogom najboljših praks ter odprtokodno programsko opremo za ocenjevanje zasebnosti. Zato ni več izgovorov za neizpolnjevanje novih obveznosti.

Ko je ocena učinka končana, se lahko obdelava začne ali pa se mora upravljavec pred obdelavo posvetovati z nadzornim organom, „kadar ocena učinka na varstvo podatkov, opravljena v skladu s členom 35, kaže, da bi obdelava predstavljala veliko tveganje, če upravljavec ne bi sprejel ukrepov za zmanjšanje tveganja“ (člen 36-1). Odstavek 2 istega člena določa, da ima nadzorni organ v primeru takega predhodnega posvetovanja 8 tednov (+6 v primerih zapletenosti), da poda svoje mnenje.

Ocena učinka se lahko objavi z namenom krepitve zaupanja v podjetje, vendar to ni obvezno.

Če se ocena učinka ne izvede ali je ocena izvedena nepravilno, se lahko naloži globa v višini do 10 milijonov evrov oziroma za podjetje 2,1 milijarde evrov svetovnega prometa, kar je višje.