Zaštita podataka

DPIA (Procjena učinka na zaštitu podataka)

Procjena učinka na zaštitu podataka (DPIA) je strukturirani postupak identificiranja i minimiziranja rizika za zaštitu podataka kod projekta ili aktivnosti obrade. DPIA je obavezna prema GDPR-u kada je obrada vjerojatno visokorizična za prava i slobode pojedinaca.

DPIA

procjena učinka

GDPR

Članak 35

rizik

Zašto je to važno

DPIA nije samo oznaka na popisu usklađenosti — to je alat za upravljanje rizicima koji prisiljava organizacije da razmisle prije nego obrađuju. Regulatori su kažnjavali organizacije upravo zbog neprovođenja DPIA-e, čak i kada nije došlo do povrede podataka. S rastom AI-a, biometrije i profiliranja na velikoj razini, DPIA-e postaju važnije nego ikad.

Kada je DPIA obavezna

Članak 35. zahtijeva DPIA kada je obrada vjerojatno visokorizična za pojedince:

Sustavno i opsežno profiliranje sa značajnim učincima na pojedince
Obrada posebnih kategorija podataka na velikoj razini (zdravlje, biometrija, kaznene evidencije)
Sustavno praćenje javno dostupnih područja (videonadzor, Wi-Fi praćenje)
Nove tehnologije čiji učinak još nije potpuno poznat
Automatizirano donošenje odluka s pravnim ili sličnim značajnim učincima

AZOP također objavljuje popis aktivnosti obrade koje zahtijevaju DPIA.

Postupak DPIA

DPIA mora sadržavati minimalno:

Opis obrade — koji podaci, zašto, kako i koliko dugo
Procjenu nužnosti i proporcionalnosti — je li ova obrada zaista potrebna? Možete li postići cilj s manje podataka?
Procjenu rizika — što bi moglo poći po krivu za ispitanike?
Mjere za smanjenje rizika — zaštitne mjere, sigurnosne kontrole i mehanizmi za dokazivanje usklađenosti

Što ako je ne provedete

Kazne do 10 milijuna eura ili 2% globalnog prometa za neprovođenje obvezne DPIA
Obrada se možda mora zaustaviti ako se rizici ne mogu umanjiti
Prethodno savjetovanje s AZOP-om je potrebno ako DPIA pokaže visoki rezidualni rizik

Ključna regulativa

GDPR Članak 35 — Procjena učinka na zaštitu podataka
GDPR Članak 36 — Prethodno savjetovanje s nadzornim tijelom
EDPB Smjernice o DPIA (WP 248) — detaljno procesno vodstvo

Povezani pojmovi

GDPR (Opća uredba o zaštiti podataka)

Opća uredba o zaštiti podataka (GDPR) je sveobuhvatni zakon Europske unije koji uređuje način na koji organizacije prikupljaju, pohranjuju, obrađuju i dijele osobne podatke pojedinaca u Europskom gospodarskom prostoru. Primjenjuje se na sve organizacije, bez obzira na veličinu ili sjedište.

DPO (Službenik za zaštitu podataka)

Službenik za zaštitu podataka (DPO) je neovisni stručnjak imenovan od strane organizacije za nadzor usklađenosti sa zakonima o zaštiti podataka, savjetovanje o obvezama, praćenje usklađenosti i služenje kao kontaktna točka za AZOP i ispitanike.

Voditelj obrade

Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhu i sredstva obrade osobnih podataka. Voditelj obrade snosi primarnu odgovornost za usklađenost s GDPR-om.

Legitimni interes

Legitimni interes je jedna od šest pravnih osnova za obradu osobnih podataka prema GDPR-u. Omogućuje organizacijama obradu podataka kada imaju opravdan, zakonit razlog koji ne nadmašuje temeljna prava i slobode ispitanika.

Osobni podaci

Osobni podaci su svaka informacija koja se odnosi na identificiranog ili identificiranog fizičkog pojedinca. To uključuje imena, e-mail adrese, IP adrese, lokacijske podatke, identifikatore kolačića i sve druge podatke koji mogu izravno ili neizravno identificirati osobu.

Povezani tečajevi

Gdpr U Praksi Kljucna Znanja Za Poslovanje

Želite naučiti više?

Istražite naše tečajeve i steknite praktično znanje o ovoj temi.