Ponudba za javne zavode ter mala in srednja podjetja
SVETOVANJE IN OCENE UČINKOV V ZVEZI Z VARSTVOM OSEBNIH PODATKOV NA PODROČJU VARSTVA OSEBNIH PODATKOV PO SPLOŠNI UREDBI (EU) O VARSTVU PODATKOV
Ponujamo svetovanja, ocene učinkov v zvezi z varstvom osebnih podatkov (DPIA – data protection impact assessment) in s temi povezane izvedbene ukrepe (npr. zlasti priprava potrebnih internih aktov) na področju varstva osebnih podatkov po Splošni uredbi (EU) o varstvu podatkov (GDPR) za mala in srednja podjetja ter javne zavode. Za potrebe sprejema ustreznih odločitev v zvezi z zagotavljanjem skladnosti na tem področju ponujamo tudi preventivni pregled skladnosti z oceno potrebnih ukrepov.
Po členu 35 Splošne uredbe (EU) o varstvu podatkov je izdelava pisne ocene učinkov obvezna, če je glede na okoliščine konkretnega primera možno, da bi lahko obdelava osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov. Ocena učinkov je interni akt, s katerim se popiše zadevno obdelavo osebnih podatkov, oceni primernost in potrebnost obdelave ter možna tveganja in predvidi ukrepe za zagotavljanje (večje) varnosti osebnih podatkov.
Ocena učinka se lahko nanaša na celotno poslovanje upravljavca ali na posamezne dele, na primer na posamezne zbirke podatkov, procese dela, programske rešitve, aplikacije, namene obdelave ali celo na posamezne podatke ali dokumente.
Ocena učinka lahko pride v poštev zlasti, kadar upravljavec:
– v večjem obsegu obdeluje »občutljive« osebne podatke (zdravstveni podatki, podatki o rasnem ali etničnem poreklu, političnem mnenju, verskem ali filozofskem prepričanju, spolnem življenju ali članstvu v sindikatu, genetski podatki, biometrični podatki, podatki v zvezi s kazenskimi obsodbami in prekrški), na primer izvajalci zdravstvene dejavnosti, socialno varstveni zavodi, organizacije na področju socialne varnosti, upravljavci s področja psihološke ali psihoterapevtske dejavnosti in podobno;
– v večjem obsegu izmenjuje osebne podatke z upravljavci ali uporabniki v tujini;
– v večjem obsegu obdeluje podatke, glede katerih velja obveznost varovanja poklicne tajnosti (npr. socialno varstvo, psihologija, šolstvo);
– uvaja nove tehnologije za obdelavo osebnih podatkov (npr. posebne mobilne aplikacije, telemedicina);
– obdeluje osebne podatke na tvegan način;
– izvaja kompleksno znanstveno-raziskovalno delo na osebnih podatkih;
– izvaja masovno obdelavo podatkov (npr. vodenje velikih zbirk po kriteriju števila posameznikov, števila podatkov ali števila namenov);
– v večjem obsegu z videonadzorom ali na drug način (npr. brezpilotniki) nadzoruje javno dostopna območja;
– profilira posameznike z avtomatizirano obdelavo podatkov ali kako drugače sistematično in obsežno vrednoti osebne podatke z avtomatizirano obdelavo, pri čemer imajo rezultati za posameznike pomembne učinke (npr. klubi zvestobe, ocenjevanje bonitete strank).
Glede na rezultate ocene učinkov pa tudi, kadar ocena učinkov sploh ni potrebna, je v mnogih primerih treba izdelati ustrezne interne akte, predvsem evidenco dejavnosti obdelave (člen 30 Splošne uredbe (EU) o obdelavi podatkov), interni pravilnik o zagotavljanju varnosti podatkov, pogodbe o obdelavi osebnih podatkov, posamezne politike varnosti, sklepe o videonadzoru, interna navodila in podobno.
Preventivni pregled skladnosti z oceno potrebnih ukrepov temelji na splošnem (hitrem) pregledu procesov in sredstev obdelave ter prostorov, intervjuju s pristojnimi osebami pri upravljavcu ter pregledu internih aktov pri upravljavcu, na podlagi česar se izdela predlog o tem, ali sploh in kaj bi bilo treba ukreniti za dosego zahtev (nove) zakonodaje, zlasti za zakonitost obdelave ter varnost podatkov (na primer, ali je potrebna oziroma smiselna izdelava ali sprememba ocene učinkov, pravilnikov, navodil, pogodb, vlog za pristojne organe, sklepov in podobnih aktov ter ali je smiselno zunanje certificiranje, dodatno posvetovanje s pristojnimi organi, uvedba pomembnejših ukrepov ali ukinitev določenih praks ipd.).