Vymedzenie pojmu posúdenie vplyvu, tzv. DPIA

Posúdenie vplyvu na ochranu osobných údajov je v angličtine známe pod pojmom DATA PROTECTION IMPACT ASSESMENT. Ide o tzv. analýzu rizík, ktorú je v zmysle Nariadenia GDPR[1] povinný vypracovať každý prevádzkovateľ[2] pred vykonaním takej spracovateľskej operácie s osobnými údajmi dotknutých osôb, ktorá pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb („DPIA“). Riziká pre práva a slobody dotknutých osôb z jednotlivých spracovateľských operácii môžu predstavovať rôzny stupeň závažnosti a môžu viesť napríklad k majetkovej, nemajetkovej alebo inej ujme pre dotknutú osobu. Z vyššie uvedeného vyplýva, že povinnosť vypracovať DPIA sa nevzťahuje na každú spracovateľskú operáciu s osobnými údajmi, ale len na takú, ktorá spĺňa určité podmienky.

Kedy sa vyžaduje vypracovanie DPIA

Povinnosť prevádzkovateľov vypracovať DPIA je potrebné vnímať v kontexte všeobecnej povinnosti prevádzkovateľov primerane riadiť riziká, ktoré prináša samotné spracúvanie osobných údajov. Aj podľa recitálu 84 Nariadenia GDPR: Výsledok posúdenia (DPIA) by sa mal zohľadniť pri stanovení primeraných opatrení, ktoré sa majú prijať s cieľom preukázať, že spracúvanie osobných údajov je v súlade s Nariadením GDPR. 

Povinnosť vypracovať DPIA sa vzťahuje predovšetkým na prípady, kedy prevádzkovateľ na spracúvanie osobných údajov použije nové technológie, použitie ktorých môže znamenať vysoké riziko pre práva a slobody dotknutých osôb a ak z povahy, rozsahu, kontextu alebo účelu spracúvania osobných údajov vyplýva vysoké riziko pre práva a slobody týchto dotknutých osôb. DPIA je proces, ktorý prevádzkovateľovi pomôže zanalyzovať, identifikovať a minimalizovať riziká. Nie je ničím iným než špeciálnym typom analýzy rizík. Malo by zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika pre práva a slobody dotknutých osôb, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s Nariadením GDPR.

Nariadenie GDPR v článku 35 ods. 3 uvádza príklady tých spracovateľských operácií, ktoré podliehajú požiadavke vypracovania DPIA. Vzhľadom na to, že výpočet spracovateľských operácii uvedených v Nariadení GDPR nie je extenzívny, pracovná skupina WP 29[3] prijala 9 kritérií, ktoré by mal vziať do úvahy každý prevádzkovateľ pri rozhodovaní, či konkrétna spracovateľská operácia si vyžaduje vypracovanie DPIA alebo nie. Ak konkrétna spracovateľská operácia spĺňa aspoň dve z nižšie uvedených kritérií, prevádzkovateľ by mal zvážiť vypracovanie DPIA. WP 29 uvádza, že čím viac kritérií konkrétna spracovateľská operácia spĺňa, tým je pravdepodobnejšie, že predstavuje vysoké riziko pre práva a slobody dotknutých osôb.

Kritériá:

1. Profilovanie a predpovedanie - hodnotenie alebo prideľovanie bodov vrátane profilovania a predpovedania, najmä z aspektov súvisiacich s výkonnosťou dotknutej osoby v práci, jej majetkovými pomermi, zdravím, osobnými preferenciami alebo záujmami, spoľahlivosťou alebo správaním, polohou alebo pohybom.
2. Automatizované rozhodovanie s právnym alebo podobne závažným účinkom - spracúvanie, ktorého cieľom je prijatie rozhodnutí o dotknutých osobách s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu.
3. Systematické monitorovanie - spracúvanie používané na pozorovanie, monitorovanie alebo kontrolu dotknutých osôb vrátane údajov získaných prostredníctvom sietí alebo systematického monitorovania verejne prístupných miest.
4. Citlivé údaje alebo údaje veľmi osobnej povahy - uvedené zahŕňa osobitné kategórie osobných údajov vymedzené v článku 9 (napr. informácie o zdravotnom stave), ako aj osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.
5. Údaje spracúvané vo veľkom rozsahu - v Nariadení GDPR sa nevymedzuje, čo predstavuje spracúvanie údajov vo veľkom rozsahu, hoci v recitáli 91 Nariadenia GDPR sa uvádza určité usmernenie. WP29 v každom prípade odporúča, aby sa pri posudzovaní toho, či sa spracúvanie vykonáva vo veľkom rozsahu, zvážili predovšetkým faktory ako počet dotknutých osôb, ktorých sa to týka (ako konkrétne číslo alebo ako podiel relevantnej populácie),  objem údajov a/alebo rozsah rôznych údajových položiek, ktoré sa spracúvajú, dĺžka trvania alebo nemennosť činnosti spracúvania údajov, geografický rozsah činnosti spracúvania.
6. Spájanie alebo kombinovanie súborov údajov - napr. údajov pochádzajúcich z dvoch alebo viacerých operácií spracúvania údajov vykonaných na rozdielne účely a/alebo rozličnými prevádzkovateľmi údajov takým spôsobom, ktorý by prekročil rozumné očakávania dotknutej osoby.
7. Údaje týkajúce sa zraniteľných dotknutých osôb - zraniteľnou dotknutou osobou môže byť napríklad zamestnanec.
8. Inovačné využitie alebo uplatňovanie nových technologických alebo organizačných riešení.
9. Keď samotné spracúvanie bráni dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu.

Na základe splnomocňujúceho ustanovenia Nariadenia GDPR vydal Úrad na ochranu osobných údajov SR („Úrad“) 13 príkladov tých spracovateľských operácii, ktoré podliehajú požiadavke Posúdenia vplyvu:

1. Spracúvanie biometrických údajov fyzických osôb (napr. odtlačok prsta) na účely individuálnej identifikácie fyzickej osoby v spojení aspoň s jedným vyššie uvedeným kritériom.
2. Spracúvanie genetických údajov fyzických osôb (napr. údaje týkajúce sa zdedených charakteristických znakov) v spojení aspoň s jedným vyššie uvedeným kritériom.
3. Spracúvanie lokalizačných údajov (napr. údajov o polohe) v spojení aspoň s jedným vyššie uvedeným kritériom.
4. Spracovateľské operácie vykonávané podľa čl. 14 Nariadenia GDPR – v čl. 14 ods. 5 písm. b), c) a d) Nariadenia GDPR sú určené výnimky, kedy prevádzkovateľ nie je povinný poskytnúť dotknutej osobe informácie o spracúvaní osobných údajov. Ak spracovateľské operácie s osobnými údajmi sú predmetom tejto výnimky, DPIA je vyžadované v spojení aspoň s jedným vyššie uvedeným kritériom.
5. Hodnotenie alebo prideľovanie bodov.
6. Posúdenie dôveryhodnosti.
7. Posúdenie platobnej schopnosti.
8. Profilovanie.
9. Monitoring práce zamestnanca na základe vážnych dôvodov vyplývajúcich z osobitnej povahy činnosti zamestnávateľa.
10. Spracúvanie osobných údajov na účely vedeckého alebo historického výskumu bez súhlasu dotknutej osoby v spojení aspoň s jedným vyššie uvedeným kritériom.
11. Spracovateľské operácie využívajúce nové alebo inovatívne technológie v spojení aspoň s jedným vyššie uvedeným kritériom.
12. Systematické kamerové monitorovanie verejných priestorov.
13. Sledovanie osôb súkromnými detektívnymi, resp. bezpečnostnými službami.

Kto je povinný vypracovať DPIA

Povinnosť vypracovať DPIA má každý prevádzkovateľ za splnenia vyššie uvedených podmienok. Ak však prevádzkovateľ do konkrétnej spracovateľskej operácie, ktorá podlieha požiadavke vypracovania DPIA zapojí sprostredkovateľa[4], ten je povinný prevádzkovateľovi poskytnúť súčinnosť v súvislosti s vypracovaním DPIA s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi.

 

Sankcie

Správnu pokutu vo výške maximálne 10 miliónov eur, alebo v prípade podniku do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok (podľa toho ktorá suma je vyššia) uloží Úrad prevádzkovateľovi za nedodržanie požiadaviek týkajúcich sa DPIA, konkrétne:

• ak sa DPIA nevykoná, keď mu spracúvanie podlieha,
• ak sa DPIA vykoná nesprávne, alebo
• ak sa podľa potreby nekonzultuje s príslušným dozorným orgánom.

Odporúčanie na záver

Ak prevádzkovateľovi nie je úplne jasné, či má vypracovať DPIA alebo nie, odporúčame z hľadiska opatrnosti DPIA vypracovať, keďže ide o užitočný nástroj, ako Úradu preukázať súlad s Nariadením GDPR.

Viktória Poliaková, Zuzana Krajčovičová