Procjena rizika primjene novih tehnologija

Želite u svoje poslovanje uvesti novu tehnologiju? Prijeći na cloud, analizirati podatke, profilirati klijente? Opća uredba o zaštiti podataka (GDPR) u članku 35. propisuje dužnost voditelja obrade da prije predviđenih postupaka obrade provede procjenu njezina učinka na zaštitu osobnih podataka ako je vjerojatno da će neka vrsta obrade prouzročiti visok rizik za prava i slobode pojedinaca. Uredba u istom članku navodi tri slučaja u kojima je procjena učinka na zaštitu podataka obvezna, a to su:

  1. slučajevi sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi,
  2. opsežne obrade posebnih kategorija osobnih podataka ili podataka u vezi s kaznenim osudama i kažnjivim djelima,
  3. te slučajevi sustavnog praćenja javno dostupnog područja u velikoj mjeri.

Međutim, ovaj popis nije iscrpan. Dužnost provedbe procjene učinka obrade generalno je formulirana te se odnosi na svaku obradu ako je vjerojatno da će prouzročiti visoki rizik za prava i slobode pojedinca.

Kako bi se voditeljima obrade olakšala odluka za koju obradu će biti potrebno raditi procjenu učinka, propisana je dužnost nadzornog tijela svake države da uspostavi i javno objavi popis vrste postupka obrade koji obavezno podliježu zahtjevu za procjenu učinka na zaštitu podataka. No, javna objava takvog popisa ne smije se obaviti bez prethodnog mišljenja Europskog odbora za zaštitu podataka. Glavna zadaća navedenog odbora je da osigura dosljednu primjenu Uredbe u cijeloj Europskoj uniji. Ova dužnost nastala je u okviru mehanizma konzistentnosti koji Uredba uspostavlja te je iz tog razloga hrvatska Agencija za zaštitu osobnih podataka (AZOP, hrvatsko nadležno nadzorno tijelo) podnijela nacrt popisa Odboru u listopadu 2018. godine.

Razmotrivši nacrt popisa koji je AZOP predala, Odbor je sastavio mišljenje o nacrtu popisa. Mišljenje se sastoji od četiri glavne točke:

  1. Odbor smatra da je analiza izvršena u Smjernicama Radne skupine 29. (Radna skupina koja je sada formirana u Europski odbor za zaštitu podataka) temeljni element za osiguranje dosljednosti diljem Europske unije. Stoga Odbor zahtjeva da nadzorna tijela u dokument koji sadrži popis dodaju izjavu kojom se objašnjava da je ta lista temeljena na navedenim Smjernicama. U svom dokumentu u kojem se nalazi popis, AZOP je naveo da je popis sastavljen uz analizu „Smjernica o procjeni učinka na zaštitu podataka“, što je odviše nejasno. Odbor preporuča AZOP-u da u svom dokumentu razjasni da se radi o Smjernicama o procjeni učinka na zaštitu podataka (WP 248) koje je sastavila Radna skupina 29. Također, Odbor zahtjeva da AZOP razjasni da je njihov popis temeljen na tim smjernicama i da ih on upotpunjuje i dodatno određuje.
  2. AZOP u svom popisu navodi da obrada biometrijskih podataka sama po sebi potpada pod obvezu provođenja procjene učinka na zaštitu podataka. Odbor je mišljenja da obrada biometrijskih podataka ne predstavlja nužno visoki rizik sama za sebe. Međutim, obrada biometrijskih podatka radi jedinstvene identifikacije pojedinca zajedno s još nekim drugim kriterijem zahtjeva procjenu učinka na zaštitu podataka. Stoga, Odbor traži od AZOP-a da se: a) točka koja se odnosi na obradu biometrijskih podataka primjenjuje gdje je svrha obrade jedinstvena identifikacija pojedinca; b) da se procjena učinka na zaštitu podataka mora provoditi samo ako se obrada biometrijskih podataka obavlja zajedno s još barem jednim kriterijem iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01).
  3. Zahtjevi Odbora koji se tiču genetskih podataka jednaki su kao i oni koje je Odbor dao u vezi s biometrijskim podacima. Od AZOP-a se zahtjeva da se kod liste koja se tiče genetskih podataka navede da se odnosi na obradu podataka kojoj je svrha jedinstvena identifikacija pojedinca te da se procjena učinka mora provoditi samo ako je uz obradu genetskih podataka ispunjen još barem jedan kriterij iz Smjernica.
  4. Što se tiče obrade osobnih podataka koje stvaraju senzorni uređaji odašiljajući podatke preko Interneta ili neke druge tehnologije prijenosa informacija, Odbor je mišljenja da ona ne bi trebala biti kriterij koji vodi do obveze izvršavanja procjene učinka na zaštitu podataka. Nije vjerojatno da ovaj kriterij, sam ili uz neki drugi kriterij predstavlja visoki rizik za prava i slobode pojedinca.

AZOP je zahtjeve Odbora prihvatio, ugradio u svoju listu te je revidiranu listu objavio 21. prosinca 2018. na svojim internetskim stranicama https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli.

Navedena lista, između ostalog, navodi da je obvezno procijeniti učinak na zaštitu podataka ako se radi o uporabi novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba.

Author image
Marija Boskovic Batarelo