Vymedzenie pojmu posúdenie vplyvu, tzv. DPIA
Posúdenie vplyvu na ochranu osobných údajov je v angličtine známe pod pojmom DATA PROTECTION IMPACT ASSESMENT. Ide o tzv. analýzu rizík, ktorú je v zmysle Nariadenia GDPR[1] povinný vypracovať každý prevádzkovateľ[2] pred vykonaním takej spracovateľskej operácie s osobnými údajmi dotknutých osôb, ktorá pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb („DPIA“). Riziká pre práva a slobody dotknutých osôb z jednotlivých spracovateľských operácii môžu predstavovať rôzny stupeň závažnosti a môžu viesť napríklad k majetkovej, nemajetkovej alebo inej ujme pre dotknutú osobu. Z vyššie uvedeného vyplýva, že povinnosť vypracovať DPIA sa nevzťahuje na každú spracovateľskú operáciu s osobnými údajmi, ale len na takú, ktorá spĺňa určité podmienky.
Kedy sa vyžaduje vypracovanie DPIA
Povinnosť prevádzkovateľov vypracovať DPIA je potrebné vnímať v kontexte všeobecnej povinnosti prevádzkovateľov primerane riadiť riziká, ktoré prináša samotné spracúvanie osobných údajov. Aj podľa recitálu 84 Nariadenia GDPR: Výsledok posúdenia (DPIA) by sa mal zohľadniť pri stanovení primeraných opatrení, ktoré sa majú prijať s cieľom preukázať, že spracúvanie osobných údajov je v súlade s Nariadením GDPR.
Povinnosť vypracovať DPIA sa vzťahuje predovšetkým na prípady, kedy prevádzkovateľ na spracúvanie osobných údajov použije nové technológie, použitie ktorých môže znamenať vysoké riziko pre práva a slobody dotknutých osôb a ak z povahy, rozsahu, kontextu alebo účelu spracúvania osobných údajov vyplýva vysoké riziko pre práva a slobody týchto dotknutých osôb. DPIA je proces, ktorý prevádzkovateľovi pomôže zanalyzovať, identifikovať a minimalizovať riziká. Nie je ničím iným než špeciálnym typom analýzy rizík. Malo by zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika pre práva a slobody dotknutých osôb, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s Nariadením GDPR.
Nariadenie GDPR v článku 35 ods. 3 uvádza príklady tých spracovateľských operácií, ktoré podliehajú požiadavke vypracovania DPIA. Vzhľadom na to, že výpočet spracovateľských operácii uvedených v Nariadení GDPR nie je extenzívny, pracovná skupina WP 29[3] prijala 9 kritérií, ktoré by mal vziať do úvahy každý prevádzkovateľ pri rozhodovaní, či konkrétna spracovateľská operácia si vyžaduje vypracovanie DPIA alebo nie. Ak konkrétna spracovateľská operácia spĺňa aspoň dve z nižšie uvedených kritérií, prevádzkovateľ by mal zvážiť vypracovanie DPIA. WP 29 uvádza, že čím viac kritérií konkrétna spracovateľská operácia spĺňa, tým je pravdepodobnejšie, že predstavuje vysoké riziko pre práva a slobody dotknutých osôb.
Kritériá:
- Profilovanie a predpovedanie - hodnotenie alebo prideľovanie bodov vrátane profilovania a predpovedania, najmä z aspektov súvisiacich s výkonnosťou dotknutej osoby v práci, jej majetkovými pomermi, zdravím, osobnými preferenciami alebo záujmami, spoľahlivosťou alebo správaním, polohou alebo pohybom.
- Automatizované rozhodovanie s právnym alebo podobne závažným účinkom - spracúvanie, ktorého cieľom je prijatie rozhodnutí o dotknutých osobách s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu.
- Systematické monitorovanie - spracúvanie používané na pozorovanie, monitorovanie alebo kontrolu dotknutých osôb vrátane údajov získaných prostredníctvom sietí alebo systematického monitorovania verejne prístupných miest.
- Citlivé údaje alebo údaje veľmi osobnej povahy - uvedené zahŕňa osobitné kategórie osobných údajov vymedzené v článku 9 (napr. informácie o zdravotnom stave), ako aj osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.
- Údaje spracúvané vo veľkom rozsahu - v Nariadení GDPR sa nevymedzuje, čo predstavuje spracúvanie údajov vo veľkom rozsahu, hoci v recitáli 91 Nariadenia GDPR sa uvádza určité usmernenie. WP29 v každom prípade odporúča, aby sa pri posudzovaní toho, či sa spracúvanie vykonáva vo veľkom rozsahu, zvážili predovšetkým faktory ako počet dotknutých osôb, ktorých sa to týka (ako konkrétne číslo alebo ako podiel relevantnej populácie), objem údajov a/alebo rozsah rôznych údajových položiek, ktoré sa spracúvajú, dĺžka trvania alebo nemennosť činnosti spracúvania údajov, geografický rozsah činnosti spracúvania.
- Spájanie alebo kombinovanie súborov údajov - napr. údajov pochádzajúcich z dvoch alebo viacerých operácií spracúvania údajov vykonaných na rozdielne účely a/alebo rozličnými prevádzkovateľmi údajov takým spôsobom, ktorý by prekročil rozumné očakávania dotknutej osoby.
- Údaje týkajúce sa zraniteľných dotknutých osôb - zraniteľnou dotknutou osobou môže byť napríklad zamestnanec.
- Inovačné využitie alebo uplatňovanie nových technologických alebo organizačných riešení.
- Keď samotné spracúvanie bráni dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu.
Na základe splnomocňujúceho ustanovenia Nariadenia GDPR vydal Úrad na ochranu osobných údajov SR („Úrad“) 13 príkladov tých spracovateľských operácii, ktoré podliehajú požiadavke Posúdenia vplyvu:
- Spracúvanie biometrických údajov fyzických osôb (napr. odtlačok prsta) na účely individuálnej identifikácie fyzickej osoby v spojení aspoň s jedným vyššie uvedeným kritériom.
- Spracúvanie genetických údajov fyzických osôb (napr. údaje týkajúce sa zdedených charakteristických znakov) v spojení aspoň s jedným vyššie uvedeným kritériom.
- Spracúvanie lokalizačných údajov (napr. údajov o polohe) v spojení aspoň s jedným vyššie uvedeným kritériom.
- Spracovateľské operácie vykonávané podľa čl. 14 Nariadenia GDPR – v čl. 14 ods. 5 písm. b), c) a d) Nariadenia GDPR sú určené výnimky, kedy prevádzkovateľ nie je povinný poskytnúť dotknutej osobe informácie o spracúvaní osobných údajov. Ak spracovateľské operácie s osobnými údajmi sú predmetom tejto výnimky, DPIA je vyžadované v spojení aspoň s jedným vyššie uvedeným kritériom.
- Hodnotenie alebo prideľovanie bodov.
- Posúdenie dôveryhodnosti.
- Posúdenie platobnej schopnosti.
- Profilovanie.
- Monitoring práce zamestnanca na základe vážnych dôvodov vyplývajúcich z osobitnej povahy činnosti zamestnávateľa.
- Spracúvanie osobných údajov na účely vedeckého alebo historického výskumu bez súhlasu dotknutej osoby v spojení aspoň s jedným vyššie uvedeným kritériom.
- Spracovateľské operácie využívajúce nové alebo inovatívne technológie v spojení aspoň s jedným vyššie uvedeným kritériom.
- Systematické kamerové monitorovanie verejných priestorov.
- Sledovanie osôb súkromnými detektívnymi, resp. bezpečnostnými službami.
Kto je povinný vypracovať DPIA
Povinnosť vypracovať DPIA má každý prevádzkovateľ za splnenia vyššie uvedených podmienok. Ak však prevádzkovateľ do konkrétnej spracovateľskej operácie, ktorá podlieha požiadavke vypracovania DPIA zapojí sprostredkovateľa[4], ten je povinný prevádzkovateľovi poskytnúť súčinnosť v súvislosti s vypracovaním DPIA s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi.
Sankcie
Správnu pokutu vo výške maximálne 10 miliónov eur, alebo v prípade podniku do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok (podľa toho ktorá suma je vyššia) uloží Úrad prevádzkovateľovi za nedodržanie požiadaviek týkajúcich sa DPIA, konkrétne:
- ak sa DPIA nevykoná, keď mu spracúvanie podlieha,
- ak sa DPIA vykoná nesprávne, alebo
- ak sa podľa potreby nekonzultuje s príslušným dozorným orgánom.
Odporúčanie na záver
Ak prevádzkovateľovi nie je úplne jasné, či má vypracovať DPIA alebo nie, odporúčame z hľadiska opatrnosti DPIA vypracovať, keďže ide o užitočný nástroj, ako Úradu preukázať súlad s Nariadením GDPR.
Viktória Poliaková, Zuzana Krajčovičová
[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES.
[2] V zmysle čl. 4 ods. 7 Nariadenia GDPR sa prevádzkovateľom rozumie fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.
[3] WP 29 je označenie pracovnej skupiny, ktorá bola zriadená ako nezávislý orgán dozoru nad dodržiavaním ochrany osobných údajov podľa Smernice Európskeho parlamentu a Rady 95/46/ES o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov a o voľnom pohybe takýchto údajov („Smernica“). Predstavovala oficiálny poradný orgán Európskej komisie pre oblasť ochrany osobných údajov. Nariadenie GDPR, s účinnosťou od 25.5.2018, nahradilo pracovnú skupinu WP29 Európskym výborom pre ochranu osobných údajov.
[4] V zmysle čl. 4 ods. 8 Nariadenia GDPR sa sprostredkovateľom rozumie fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.