Kdo je dolžan izdelati
Oceno učinka je potrebno po 35. Členu Uredbe izvesti na kritičnih področjih obdelave osebnih podatkov, predvsem kadar gre za:
- večji obseg obdelave podatkov (marketing, podatki o strankah fizičnih osebah, lahko pa tudi kadrovski podatki če je večje število zaposlenih),
- Inovativna uporaba obstoječih in novih tehnologij (kot so podatki v oblaku, elektronsko poslovanje),
- avtomatsko profiliranje posameznikov s pravnim ali podobnim učinkom,
- občutljivi osebni podatkov (npr. članstvo v sindikatu, zdravstvena in psihološka stanja, podatki o kaznovanosti članov uprave),
- obsežno vrednotenje in profiliranje posameznikov,
- sistematičen nadzor nad posameznikom brez njegovega zavedanja,
- primerjanje in kombiniranje različnih zbirk podatkov (npr. Pridobljenih skozi različne aktivnosti upravljavca) in analitika na osnovi masovnih podatkov,
- nesorazmerje moči,
- omejitev dostopa do storitve/pogodbe,
- neposredno tveganje za zdravje in varnost posameznikov
- ob upoštevanju Smernic o ocenah učinkov na varstvo podatkov ter Seznam dejanj obdelav osebnih podatkov za katere velja zahteva po izvedbi ocene učinka, ki jih je objavil Informacijski pooblaščenec.
Kdaj se uporablja
- Kadar pri upravljavcu obstajajo kritična področja obdelave osebnih podatkov.
- Kadar je iz ocene učinka v zvezi z varstvom podatkov iz člena 35 razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za odpravo ali ublažitev tveganj na sprejemljivo raven pa se mora upravljavec podatkov po 36. členu Uredbe pred obdelavo posvetovati z nadzornim organom oz. mu posredovati izdelano oceno učinka.
- Nadzorni organ mora nato v roku do osmih tednov po prejemu zahteve za posvetovanje pisno svetovati upravljavcu (kadar je ustrezno, pa tudi obdelovalcu), kako ublažiti tveganja, če meni, da bi predvidena obdelava kršila uredbo. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša največ za nadaljnjih šest tednov.
Kaj vsebuje
Ocena učinka na varstvo osebnih podatkov, zajema vsaj:
- sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec,
- oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen,
- oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki na kritičnih področjih, ter
- ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti u Uredbo GDPR, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.