GDPR

Máte alebo nemáte povinnosť vykonať analýzu vplyvu spracúvania osobných údajov (DPIA)?

Je veľmi veľa diskusií o tom, čo ktorý prevádzkovateľ musí a nemusí mať, a pritom riešenie jednoduché ako výber správneho auta. Iné auto potrebuje rodina, iné farmár, iné si zvolí pretekár.  

Aj implementácia GDPR do organizácie a zosúladenie podnikových aktivít so zákonom o chrane osobných údajov potrebuje byť tak akurát. Firma s jednoduchými procesmi a minimom spracovateľských operácií neptrebuje robustný GDPR systém. Avšak firma s veľkým objemom spracúvaných dát a mnohými spracovateľskýcmi operáciami, tá potrebuje už naozaj dôkladný, pravidelný a individuálny prístup. 

Aby sme neskĺzli ani do príliš laxného, ale ani príliš nepružného extrému, odporúčam klientom zjednodušiť si rozhodovanie pomocou faktov a od relevantných inštitúcii. 

GDPR

Článok 5 (zásady spracúvania), odsek 1, písmeno f) hovorí, že osobné údaje nesmú byť spracúvané bez primeraného zabezpečenia voči neautorizovanému prístupu, strate či zničeniu a tiež nesmú byť spracúvané bez zákonného dôvodu. Voči možným rizikám potrebuje prevádzkovateľ prijať primerané technické a osobné opatrenia. O tých hovorí článok 32, potom článok 34 nariaďuje ako riešiť porušenia ochrany osobných údajov. Dôležité je poznať v súvislosti s bezpečnosťou spracúvania aj článok 25, ktorý popisuje špecificky navrhnutú a štandardnú ochranu osobných údajov a článok 35, ktorý už je venovaný priamo vykonaniu analýzy vplyvu.

Zdroj: GDPR

Úrad pre ochranu osobných údajov SR

Čo hovorí o povinnosti vykonať analýzu vplyvu spracúvania osobných údajov? Je povinné, aby ju prevádzkovate vypracoval, ak sa spracúvanie týka:

  • biometrických údajov fyzických osôb na účely individuálnej identifikácie fyzickej osoby v spojení aspoň s jedným kritériom uvedeným v usmerneniach WP 248.
  • genetických údajov fyzických osôb v spojení aspoň s jedným kritériom uvedeným v usmerneniach WP 248.
  • lokalizačných údajov v spojení aspoň s jedným kritériom uvedeným v usmerneniach WP 248.

Ďalej ešte v prípadoch: 

  • Spracovateľské operácie vykonávané podľa čl. 14 GDPR. Ak informácie, ktoré by mali byť poskytnuté dotknutej osobe sú predmetom výnimky podľa čl. 14 ods. 5 písm. b), c) a d) všeobecného nariadenia o ochrane údajov, posúdenie vplyvu je vyžadované iba v spojení aspoň s jedným kritériom uvedeným v usmerneniach WP 248.

Čo toto znamená v ľudskej reči? GDPR čl. 14 ukladá prevádzkovateľovi informačnú povinnosť, teda musí dokázateľne dotknuté osoby informovať, prečo, aké a ako osobné údaje spracúva, ako ich chráni a aké sú práva dotknutej osoby. Z tejto povinnosti existujú isté výnimky, a tedy DPIA prevádzkovateľ nemusí vykonať, pokiaľ teda nenastane niektoré z kritérií popísané vo WP 248. Skrátka, treba si k tomu nakresliť normálne mindmap, inak sa v tom človek stratí.

  • Hodnotenie alebo prideľovanie bodov. Účelom spracovateľskej operácie je posúdenie určitých charakteristík dotknutej osoby, pričom jeho výsledok má vplyv na kvalitu služby alebo možnosť jej poskytnutia dotknutej osobe.

Takáto situácia môže nastať napríklad v ktoromkoľvek obchode, ktorý prideľuje zákazníkom body za nákup a na základe ich počtu umožňuje zákazníkovi čerpať zľavu alebo získať bonusový tovar, ale aj pri akýchkoľvek iných klubových kartách, či už hotelov alebo rešturácií, pri zbieraní leteckých míľ, pri rezerevačnom systéme na ubytovacie služby, ktorý ma na základe nákupov zaradil medzi géniusov. 

  • Spracúvanie osobných údajov na účely vedeckého alebo historického výskumu bez súhlasu dotknutej osoby v spojení aspoň s jedným kritériom uvedeným v usmerneniach WP 248.

Ako vidíte, v tomto prípade by napríklad prevádzkovateľ nepotreboval súhlas dotknutej osoby, ale analýzu vplyvu by vykonať musel, rovnako ako by musel prijať všetky náležité bezpečnostné technické a personálne opatrenia. 

  • Monitoring práce zamestnanca na základe vážnych dôvodov vyplývajúcich z osobitnej povahy činnosti zamestnávateľa (viď zákonník práce §13, ods. 4 a príslušné nariadenia Inšpektorátu práce). Vzhľadom na osobitnú povahu spracúvanie osobných údajov zamestnancov monitorovaním, ktoré spĺňa kritérium spracúvania údajov o zraniteľných dotknutých osobách a kritérium systematického monitorovania, ako dvoch kritérií uvedených v usmernení WP 248, si vyžaduje vykonanie posúdenia vplyvu na ochranu osobných údajov.

Ďalšie spracovateľské oprácie, ktoré podliehajú posudzovaniu vplyvu sú:

  • Posúdenie dôveryhodnosti. Účelom spracovateľskej operácie je posúdenie dôveryhodnosti dotknutej osoby prostredníctvom systematického hodnotenia osobných údajov alebo hodnotenia osobných údajov vo veľkom rozsahu.
  • Posúdenie platobnej schopnosti. Účelom spracovateľskej operácie je posúdenie platobnej schopnosti dotknutej osoby prostredníctvom systematického hodnotenia osobných údajov alebo hodnotenia osobných údajov vo veľkom rozsahu.
  • Profilovanie. Účelom spracovateľskej operácie je profilovanie prostredníctvom systematického hodnotenia osobných údajov, obzvlášť keď je založené na hodnotení charakteristík pracovnej výkonnosti, finančného stavu, zdravotného stavu, osobných preferencií alebo záujmov, spoľahlivosti alebo správania sa, pobytu alebo pohybu dotknutej osoby.
  • Spracovateľské operácie využívajúce nové alebo inovatívne technológie v spojení aspoň s jedným kritériom uvedeným v usmerneniach WP 248.
  • Systematické kamerové monitorovanie verejných priestorov (v jednotlivých mestách, obciach a dopravcami mestskej a prímestskej verejnej dopravy).
  • Sledovanie osôb súkromnými detektívnymi, resp. bezpečnostnými službami.

Zdroj: Zoznam spracovateľských operácií podliehajúcich posúdeniu vplyvu na ochranu osobných údajov SR

WP 248

Táto skratka znamená, že ide o odporúčanie dvadsiatej deviatej pracovnej skupiny (WP29) a toto odporúčanie má číslo 248. Ako vidíte, pracovná skupina vydala množstvo odporúčaní. Mimochodom, hoci jej odporúčania stále platia v roku 2019 došlo ku zmene a pracovná skupina sa zmenila na EDPB (Európsku radu pre ochranu osobných údajov), ktorú tvoria zástupcovia úradov pre ochranu osobných údajov jednotlivých členských krajín EÚ. Stretávajú sa raz za mesiac a riešia najpálčivejšie problémy, ktoré v súvislosti s ochranou osobných údajov existujú. A nie je ich málo. 

Poďme ale k tomu odporúčani s číslom 248. Odporúčanie má aj s prílohami 26 strán. To podstatné sa pokúsim zjednodušene zhrnúť do otázok:

  • Ste nemocnica spracúvajúca genetické a zdravotné údaje svojich pacientov (nemocničný informačný systém)? 
  • Používate kamerový systém na monitorovanie správania vodičov na diaľniciach? Plánujete používať inteligentný systém na analýzu videozáznamov s cieľom identifikovať jednotlivé autá a automaticky rozpoznávať poznávacie značky? 
  • Ste inštitúcia vytvárajúca celoštátnu databázu pre úverové hodnotenie alebo databázu na účely boja proti podvodom?
  • Uchovávate na účely archivácie týkajúce sa pseudonymizované citlivé osobné údaje o zraniteľných dotknutých osobách vykonávané v rámci výskumných projektov alebo klinických skúšok? 
  • Ste podnik systematicky monitorujúci činnosti svojich zamestnancov vrátane monitorovania ich počítačov, činností na internete atď.? 
  • Zhromažďujete údaje z verejných sociálnych médií na vytváranie profilov?

Ák ste odpovedali áno aspoň na jednu otázku, a zároveň vykonávate ktorúkoľkvek zo spracovateľských činností uvedenú v časti „Úrad pre ochranu osobných údajov SR o povinnosti vykonať analýzu vplyvu spracúvania osobných údajov“, tak povinnosť vykonať analýzu vplyvu sa vás týka.

Moment. Možno.

DPIA sa môžete vyhnúť …

… ak dokážete zdôvodniť a zdokumentovať dôvody nevykonania posúdenia vplyvu na osobné údaje a zaznamenať názory zodpovednej osoby

V takom prípade tiež potrebujete mať obzvlášť kvalitne a odborne vypracované Záznamy o spracovateľských činnostiach, ktoré okrem iného zahŕňajú účel spracúvania, opis kategórií údajov a príjemcov údajov a „podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. a v nich musí byť posúdené, či je vysoké riziko pravdepodobné.“ 

Je pravdepodobné, že sa bude vyžadovať posúdenie vplyvu na ochranu údajovNie je pravdepodobné, že sa bude vyžadovať posúdenie vplyvu na ochranu údajov
Nemocnica spracúvajúca genetické a zdravotné údaje svojich pacientov
(nemocničný informačný systém).
Spracúvanie osobných údajov pacientov alebo klientov jednotlivým lekárom, iným zdravotníckym pracovníkom alebo právnikom (odôvodnenie 91)
Používanie kamerového systému na monitorovanie správania vodičov na diaľniciach. Prevádzkovateľ plánuje používať inteligentný systém na analýzu videozáznamov s cieľom identifikovať jednotlivé autá a automaticky rozpoznávať poznávacie značky.Online časopis využívajúci zoznam mailových adries na zasielanie všeobecného denného prehľadu svojim predplatiteľom.

Podnik systematicky monitorujúci činnosti svojich zamestnancov vrátane monitorovania ich počítačov, činností na internete atď..Webová stránka vykonávajúca elektronický obchod, ktorá zobrazuje inzeráty na súčiastky na automobilové veterány, čo zahŕňa obmedzené profilovanie na základe položiek, ktoré sa na jej vlastnej webovej stránke prezerali alebo kúpili.
Zhromažďovanie údajov z verejných sociálnych médií na vytváranie profilovProces posúdenia v skratke 
Opis plánovaného spracúvaniaPosúdenie nutnosti a primeranosti
Opatrenia, ktoré sa plánuju prijať a preukázanie súladu
Posúdenie rizika pre práva a slobody dotknutých osôb
Opatrenia, ktoré sa plánujú prijať na riešenie rizík
Dokumentácia 
Monitorovanie a preskúmanie
Inštitúcia vytvárajúca celoštátnu databázu pre úverové hodnotenie alebo databázu na účely boja proti podvodom.
Uchovávanie na účely archivácie týkajúce sa pseudonymizovaných citlivých osobných údajov o zraniteľných dotknutých osobách vykonávané v rámci výskumných projektov alebo klinických skúšok.

Zdroj: WP 248

Chcete pomoc s GDPR?

Dajte nám vedieť. Radi sa s vami stretneme a nezáväzne sa porozprávame o ochrane vaších aktív, ktoré majú podobu bezpečnosti spracúvania osobných údajov.