Zašto je to važno
DPIA nije samo oznaka na popisu usklađenosti — to je alat za upravljanje rizicima koji prisiljava organizacije da razmisle prije nego obrađuju. Regulatori su kažnjavali organizacije upravo zbog neprovođenja DPIA-e, čak i kada nije došlo do povrede podataka. S rastom AI-a, biometrije i profiliranja na velikoj razini, DPIA-e postaju važnije nego ikad.
Kada je DPIA obavezna
Članak 35. zahtijeva DPIA kada je obrada vjerojatno visokorizična za pojedince:
- Sustavno i opsežno profiliranje sa značajnim učincima na pojedince
- Obrada posebnih kategorija podataka na velikoj razini (zdravlje, biometrija, kaznene evidencije)
- Sustavno praćenje javno dostupnih područja (videonadzor, Wi-Fi praćenje)
- Nove tehnologije čiji učinak još nije potpuno poznat
- Automatizirano donošenje odluka s pravnim ili sličnim značajnim učincima
AZOP također objavljuje popis aktivnosti obrade koje zahtijevaju DPIA.
Postupak DPIA
DPIA mora sadržavati minimalno:
- Opis obrade — koji podaci, zašto, kako i koliko dugo
- Procjenu nužnosti i proporcionalnosti — je li ova obrada zaista potrebna? Možete li postići cilj s manje podataka?
- Procjenu rizika — što bi moglo poći po krivu za ispitanike?
- Mjere za smanjenje rizika — zaštitne mjere, sigurnosne kontrole i mehanizmi za dokazivanje usklađenosti
Što ako je ne provedete
- Kazne do 10 milijuna eura ili 2% globalnog prometa za neprovođenje obvezne DPIA
- Obrada se možda mora zaustaviti ako se rizici ne mogu umanjiti
- Prethodno savjetovanje s AZOP-om je potrebno ako DPIA pokaže visoki rezidualni rizik
Ključna regulativa
- GDPR Članak 35 — Procjena učinka na zaštitu podataka
- GDPR Članak 36 — Prethodno savjetovanje s nadzornim tijelom
- EDPB Smjernice o DPIA (WP 248) — detaljno procesno vodstvo