Obsah

Chystáte sa zaviesť kamerový systém na celú prevádzku, spustiť nábor s automatickým hodnotením uchádzačov alebo nový systém, ktorý profiluje vašich klientov. A niekto sa spýta: „Nepotrebujeme na to DPIA?” V tej chvíli väčšina firiem urobí jednu z dvoch vecí. Buď otázku odmávne („to je len ďalší papier”), alebo vyplní formulár a uloží ho do priečinka pri ostatnej GDPR dokumentácii.

Obe reakcie vychádzajú z rovnakého nedorozumenia. Firmy berú DPIA len ako papier, ktorý ich má ochrániť pred pokutou. Lenže DPIA neposudzuje riziko pre vašu firmu. Posudzuje riziko pre práva a slobody ľudí, ktorých údaje spracúvate. To je celý posun a zároveň dôvod, prečo sa to tak často robí zle.

Tento rozdiel nie je akademický. Keď DPIA chápete ako obranu firmy, tak hodnotíte, či vám hrozí pokuta, a miniete podstatu. Keď ho chápete správne, pýtate sa, čo zlé sa môže stať človeku, ak jeho údaje uniknú, neúmyselne sa zmenia alebo sa zneužijú, a podľa toho volíte opatrenia. Pri kontrole aj pri reálnom incidente obstojí len ten druhý prístup.

Čo hovorí legislatíva

DPIA, čiže posúdenie vplyvu na ochranu osobných údajov, je upravené v čl. 35 GDPR (Nariadenie EÚ 2016/679) a v slovenskom zákone č. 18/2018 Z. z. o ochrane osobných údajov, konkrétne v paragrafe 42. Povinnosť posúdenie vykonať vzniká ešte pred začatím spracúvania, ktoré pravdepodobne predstavuje vysoké riziko pre práva a slobody fyzických osôb.

Zákon aj nariadenie pomáhajú tým, že vysoko rizikové prípady čiastočne pomenúvajú. Článok 35 ods. 3 uvádza tri typické situácie: systematické a rozsiahle hodnotenie ľudí na základe automatizovaného spracúvania vrátane profilovania, z ktorého vychádzajú rozhodnutia s právnymi alebo podobne závažnými účinkami; rozsiahle spracúvanie osobitných kategórií údajov (napríklad o zdraví, biometrii alebo náboženskom presvedčení); a rozsiahle systematické monitorovanie verejne prístupných miest, kam patrí napríklad rozsiahly kamerový systém. Nie je to úplný zoznam, je to ukážka. Dozorný orgán, na Slovensku Úrad na ochranu osobných údajov, navyše podľa čl. 35 ods. 4 zverejňuje vlastný zoznam operácií, pri ktorých je DPIA povinné, a oplatí sa doň pozrieť.

A čo má DPIA obsahovať? Štyri veci: popis spracúvania, posúdenie jeho nevyhnutnosti a primeranosti (čiže či na daný účel naozaj potrebujete toľko údajov, koľko zbierate), posúdenie rizík pre práva a slobody dotknutých osôb a opatrenia, ktorými tieto riziká znížite.

V praxi to znamená

Všimnite si, že tá štruktúra je vám povedomá, ak ste čítali predošlé články tejto série. Popíš, posúď riziko, navrhni opatrenie. Je to ten istý proces riadenia rizík, aký pozná ISO 31000, len s jediným, ale zásadným rozdielom: hodnotené riziko nie je riziko pre vašu firmu, ale pre človeka. Práve týmto sa DPIA líši od starého bezpečnostného projektu, ktorý chránil záujmy organizácie. DPIA chráni dotknutú osobu, a vy ako prevádzkovateľ za to zodpovedáte, aj keď samotné spracúvanie technicky zabezpečuje niekto iný.

V praxi to teda znamená dve fázy. Najprv zistíte, či DPIA vôbec musíte robiť, čomu sa hovorí prahová analýza: prejdete plánované alebo existujúce spracúvanie a posúdite, či spadá pod vysoké riziko. Ak áno, vykonáte samotné posúdenie podľa štyroch bodov vyššie. Ak nie, stačí, že ste to posúdili a máte o tom záznam. Veľa firiem robí chybu v oboch prípadoch: buď DPIA nerobí tam, kde má, alebo ho robí na všetko a topí sa v papieroch. Tu, ako pri každom riadení rizík, platí primeranosť.

Ako sa s tým vysporiadať

Ak hľadáte praktický vstupný bod, nemusí ním byť stiahnutý vzor DPIA z internetu. Pomôže záznam o spracovateľských činnostiach, teda dokument podľa čl. 30 GDPR, ktorý by väčšina prevádzkovateľov mala mať beztak. Keď si v ňom prejdete jednotlivé činnosti a označíte tie s vysokorizikovými prvkami, teda rozsiahly kamerový systém, profilovanie, automatizované rozhodovanie či citlivé údaje vo väčšom objeme, dostanete zoznam kandidátov na DPIA. Taká prahová analýza zaberie jedno popoludnie a ukáže, kde máte reálnu povinnosť a kde nie.

Jedna vec, ktorá sa mi v praxi externého DPO potvrdzuje: DPIA má najväčšiu hodnotu vtedy, keď ho neberiete ako formulár pre úrad, ale ako otázku, čo sa môže stať vašim zákazníkom a zamestnancom. Vtedy z neho má úžitok aj firma, aj ľudia, ktorých sa to týka.

Keďže posúdenie rizika pri citlivejších spracúvaniach si vyžaduje odborný úsudok a chyba sa tu počíta draho, oplatí sa to nepodceniť. Ak chcete prejsť, ktoré z vašich spracúvaní potrebujú DPIA a ako ho spraviť poriadne, na úvodnej konzultácii sa na to pozrieme spolu a navrhneme ďalší krok bez záväzku.