Ne pozabite na presojo učinkov na varstvo osebnih podatkov

Izzivi so toliko večji ravno zato, ker večina akterjev ni seznanjenih z osnovnimi pravili in načeli varstva osebnih podatkov, ki jih narekujeta Splošna uredba o varstvu osebnih podatkov (GDPR) in Zakon o varstvu osebnih podatkov (ZVOP-1). To vas lahko drago stane, zato berite naprej.

Pomembno orodje za doseganje ciljev, s katerim v praksi implementiramo ključno načelo GDPR –  »privacy by design and by default«, je Presoja učinkov na varstvo osebnih podatkov, angleški izraz »Data protection impact assesment« (DPIA), ki jo je priporočljivo začeti pripravljati že v zgodnji fazi projekta. DPIA nam v praksi pomaga preprečiti napake, ki bi nas kasneje lahko drago stale, zato je treba čimprej zapolniti nastalo vrzel in oponomočiti tako IT stroko kot ostale akterje.

Aktualno za občine in informatike

Ministrstvo za javno upravo je pred kratkim objavilo Javni razpis za demonstracijske projekte vzpostavljanja pametnih mest in skupnosti »JR PMIS« – in v razpisni dokumentaciji opozorilo na obveznost izdelave Presoje učinkov na zasebnost (DPIA) v skladu s 35. členom Splošne uredbe o varstvu osebnih podatkov (GDPR), če tehnološka rešitev vključuje obdelavo osebnih podatkov.  Da je potrebno v projektih »Smart city« izdelati »DPIA«, je zapisano tudi v mnenju Informacijskega pooblaščenca iz leta 2018.

Namen javnega razpisa MJU in s tem sofinanciranja projektov je pospešitev uvajanja inovativnih rešitev na področju digitalizacije občin. To naj bi dosegli z uvedbo in uporabo naprednih digitalnih tehnologij. Pri večini tehnoloških rešitev je predvidena tudi obdelava osebnih podatkov občanov, posledično pa je izdelava presoje učinkov je pri tovrstnih projektih nujna.

Kaj je DPIA?

DPIA je uvedena s Splošno uredbo o varstvu osebnih podatkov, ki je pričela veljati 25. maja 2018. Zahteva se uvršča v preventivne ukrepe v okviru novega temeljnega načela, načela odgovornosti (angl. accountability), ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev (npr. občine) in obdelovalcev podatkov (npr. razvijalca IT rešitve). Za lažje razumevanje določb glede obveznosti izdelavi DPIA, so pomembne Smernice IP, v katerih je zapisano, da se DPIA izdela,  ko gre za projekte digitalizacije in uvajanje novih tehnologij, pri katerih prihaja do obdelave osebnih podatkov,  med drugim tudi za primere obdelave s pomočjo umetne inteligence, inteligentne videoanalitike, e-uprave (ali podobnih portalov na občinski ravni), obdelava geolokacijskih podatkov in podobno.

Za določene vrste novih digitalnih rešitev je DPIA obvezna. V primeru da ne bo narejena, bo to pomenilo kršitev določil GDPR, za kar bo lahko izrečena globa. Vendar tudi v primeru, ko ta ni obvezna, je priporočljivo, da se izdela. To orodje nam namreč pomaga preprečiti napake in izpolniti vse zahteve zakonodaje o varstvu osebnih podatkov.

Kaj vsebuje DPIA?

DPIA vsebuje sistematičen opis dejanj in namenov obdelave, kadar je ustrezno, pa tudi zakonitih interesov, za katere si upravljavci prizadevajo; oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen; oceno tveganj za posameznike, na katere se nanašajo osebni podatki; ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov.

Za izdelavo končne DPIA je odgovoren vodja projekta (naročnik oziroma tisti, ki je upravljavec osebnih podatkov – npr. občina), pri pripravi pa ima ključno vlogo tudi zunanji izvajalec (razvijalec in obdelovalec osebnih podatkov).

Kakšna je vloga razvijalcev (informatikov)?

Poznavanje določil GDPR in zahtev DPIA je ključno že v fazi razvoja, zato je pomembno, da vodja projektov zahteva od razvijalcev tehnoloških rešitev, da se v zgodnji fazi vključijo v izdelavo DPIA. Gre za dokument, ki dejansko »živi« in se »razvija« od začetka (načrtovanje) do konca (implementacija), zato je nujno, da so tudi informatiki ustrezno usposobljeni in pripravljeni za pripravo prvih osnutkov tega dokumenta.

Če menite, da na tem področju nimate dovolj znanja, se obrnite na izkušene svetovalce s področja varstva osebnih podatkov  – podjetje Dataofficer d.o.o. Dobite jih na telefonski številki 386 41 314 400, lahko jim pišete (info@dataofficer.si) ali obiščete spletno stran www. dataofficer.si. Priporočamo, da se udeležite tudi njihovega usposabljanja, ki se prične 4. aprila, več informacij dobite na: bit.ly/e-ucilnica (P.R.)