Všeobecné nariadenie o ochrane osobných údajov - General Data Protection Regulation (GDPR) zavádza novinku tzv. Posúdenie vplyvu na ochranu osobných údajov angl.: Data protection impact assessment (ďalej len "DPIA"). Podľa GDPR ak spracúvanie osobných údajov, najmä s ohľadom na nové technológie alebo s ohľadom na povahu, rozsah, kontext a účely spracúvania povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií.
GDPR zavádza mechanizmus na hodnotenie rizík týkajúcich sa rozsahu a kontextu spracúvania osobných údajov (napríklad biometrických údajov, geolokačných údajov, údajov o zdravotnom stave, sociálnom profile a pod.). Účelom DPIA je zamedziť, aby spracúvanie osobných údajov malo negatívny dopad na práva a právom chránené záujmy fyzických osôb, ku ktorým môžeme zaradiť právo na súkromie, dôstojnosť, ako aj právo na ochranu osobnosti. Mohli by sme doplniť, že spracúvanie osobných údajov tak nebude v rozpore s očakávaniami fyzických osôb a osobné údaje nebudú využívané pre účely, ktoré nie sú zlučiteľné s poskytovanými službami či s charakterom ponúkaného produktu. Výpočet rizík nie je konečný a bude závisieť práve od kontextu a rozsahu spracúvania údajov. V tejto súvislosti je nevyhnutné poznamenať, že DPIA je súčasťou Privacy by Desing by Default z čoho vyplýva, že prevádzkovateľ v súlade s princípom Privacy by Design pristupuje k hodnoteniu rizík vo fáze pred spracúvaním osobných údajov. Z hľadiska produktov a procesov ide o fázu dizajnu resp. idea clarification. Načasovanie je v tomto prípade kľúčové. Posúdenie vplyvu na ochranu osobných údajov nie je možné realizovať ex-post, keďže výsledkom rizikovej analýzy môže byť aj obmedzenie spracúvania osobných údajov prípadne úplný zákaz.
Data protection impact assessment (DPIA) podľa Článku 35 GDPR
Vo všeobecnej rovine článok 35 GDPR nepredpisuje ako má DPIA vyzerať. Veľmi okrajovo až priam povrchne sú upravené jej obsahové náležitosti, ktoré rozhodne neposkytujú vyčerpávajúci výpočet rizík vyplývajúci z GDPR. Podľa článku 35 ods. 7 GDPR, DPIA obsahuje minimálne:
- systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ
- posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;
- posúdenie rizika pre práva a slobody dotknutých osôb
- opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov na preukázanie súladu s GDPR
GDPR ďalej v článku 35 ods. 9 predpokladá, že prevádzkovateľ sa podľa potreby usiluje získavať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie. Predmetné ustanovenie si v praxi neviem celkom dobre predstaviť. Celý článok 35 považujem za veľmi abstraktný až mätúci.
Ako by mal Data protection impact assessment (DPIA) v praxi vyzerať?
DPIA nie je univerzálny nástroj. Vypracovanie vhodnej rizikovej analýzy vyžaduje najprv analýzu samotného prevádzkovateľa. V závislosti od druhu prevádzkovateľa môžeme hovoriť o jednoduchom "checkliste" či až po rozsiahly dokument obsahujúci hodnotenie finančného, inherentného či reziduálneho rizika. DPIA môže byť vypracovaná ako súbor základných právnych otázok alebo ako programovateľný software obsahujúci automatizované vyhodnocovanie rizík existujúcich procesov v danej spoločnosti. S prihliadnutím na aktuálne metodické usmernenie pracovnej skupiny zameranej na ochranu osobných údajov - Working Party 29, ktorá v tejto súvislosti vydala dňa 4 Apríla 2017 odporúčanie týkajúce sa DPIA môžem konštatovať, že DPIA rozhodne neostáva len v rovine akéhosi "dotazníka". Je pochopiteľné, že nie každá spoločnosť, ktorá spĺňa požiadavky GDPR je povinná implementovať DPIA podľa nejakej vopred stanovenej šablóny. Všetko závisí od veľkosti prevádzkovateľa, od segmentu v ktorom pôsobí, od teritoriálnej pôsobnosti a od druhu poskytovaných služieb.
V súčasnosti je možné na trhu zakúpiť komerčné nástroje na hodnotenie dátových rizík (online dostupné a licencované nástroje DPIA). Vo všeobecnosti ide o platformu elektronického dotazníka, ktorý umožňuje vyhodnocovať niektoré aspekty spracúvania údajov podľa vopred zadaných kritérií. Dostupných je aj niekoľko dodatočných modulov určených napríklad na mapovanie údajov, sledovanie životného cyklu projektov a mnoho ďalších. Zákazníkovi to umožňuje sa jednoducho a bez väčšej námahy dostať k DPIA. Iné spoločnosti si vyvíjajú svoje hodnotiace nástroje sami a prispôsobujú si ich svojim interným potrebám. Pre malé a stredné podniky je pravdepodobne najrýchlejšia cesta ako sa dostať k DPIA, oslovenie advokáta s požiadavkou na vypracovanie analýzy. Môže ísť o jednorazovú záležitosť ale aj o dlhodobú spoluprácu. V neposlednom rade je tu úloha zodpovednej osoby. Podľa GDPR zodpovedná osoba poskytuje svoje stanovisko k DPIA ak ju o to prevádzkovateľ požiada. Ak spoločnosť má povinnosť vypracovať DPIA, bude mať pravdepodobne aj povinnosť mať určenú zodpovednú osobu. Zodpovedná osoba ako nezávislý pozorovateľ v kontexte GDPR, hodnotí výsledky DPIA a poskytuje svoje odborné stanovisko k ďalšiemu postupu.
Digitálne technológie + eCommerce = DPIA
Vzhľadom na vyššie uvedené fakty o DPIA je možné predpokladať, že jej obstaranie prípadne implementácia bude mnohých prevádzkovateľov niečo stáť. Niektorých prevádzkovateľov menej, iných poriadne veľa. Je však DPIA len nechcený výdavok, ktorý neprináša žiaden benefit? Rozhodne nie. V prípade, že sa prevádzkovateľ orientuje na eCommerce, prípadne využíva v súvislosti s vývojom produktov alebo služieb digitálne technológie, je DPIA rozhodne príležitosťou. Dizajn produktov s ohľadom na aspekty súkromia "Privacy" začínajú byť v dnešnej dobe populárne. Mnohé spoločnosti, ktoré sú si vedomé rizík vyplývajúcich z GDPR, využívajú DPIA na skvalitnenie spracovateľských operácií a zvýšenie kvality dát. Vo fáze dizajnu produktu inkorporujú aspekty súkromia, ktoré prinášajú v konečnom dôsledku benefity vo forme prehľadnejšieho toku údajov, bezpečnostnej politiky a orientácie na klienta. Nebudem prekvapený, ak onedlho budú spoločnosti okrem označenia energetickej spotreby A+++, uvádzať aj označenie bezpečnosti spracúvania osobných údajov DP+++ vo svojich produktoch. Koniec koncov GDPR na to vo svojich článkoch pamätá, keď prostredníctvom certifikátov bude umožňovať prevádzkovateľom osvedčiť svoju úroveň súladu s GDPR.
