Andmekaitseriskide hindamine
Andmekaitseriskide hindamine (DPIA) on ametlik protsess, mida kasutatakse andmekaitseriskide tuvastamiseks ja minimeerimiseks isikuandmete töötlemisel. Organisatsioonid peavad läbi viima DPIA enne töötlemist, mis tõenäoliselt toob kaasa suure riski üksikisikute õigustele ja vabadustele, eriti kui kasutatakse uusi tehnoloogiaid või töödeldakse eriliiki isikuandmeid.
Õiguslik alus
"Kui töötlemisliik, eriti uute tehnoloogiate kasutamisel ning võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärke, tõenäoliselt toob kaasa suure riski füüsiliste isikute õigustele ja vabadustele, teostab vastutav töötleja enne töötlemist kavandatavate töötlemistoimingute mõju hindamise isikuandmete kaitsele."
— Artikkel 35 lõige 1, määrus (EL) 2016/679 (GDPR)
Miks see oluline on
Andmekaitseriskide hindamine on hädavajalik igale organisatsioonile, mis kasutab isikuandmeid poliitilise reklaami sihtimisel või reklaamide edastamise tehnikates. GDPR alusel peavad vastutavad töötlejad viima läbi DPIA, kui töötlemistoimingud tõenäoliselt toovad kaasa suure riski, eriti kui kasutatakse profiilianalüüsi, eriliiki andmeid või üksikisikute süstemaatilist jälgimist suures mahus.
Poliitilise reklaami puhul on DPIA eriti oluline, kuna sihtimistehnoloogiad hõlmavad sageli delikaatsete isikuandmete nagu poliitilised vaated töötlemist, mis on GDPR alusel liigitatud eriliiki andmeteks. Poliitilise reklaami teenuseid pakkuvad väljaandjad ja teenusepakkujad peavad hindama, kas nende sihtimistavad nõuavad DPIA läbiviimist enne kampaaniate käivitamist.
DPIA aitab organisatsioonidel riske varakult tuvastada, rakendada asjakohaseid kaitsemeetmeid ja näidata vastutust. Samuti määrab see kindlaks, kas enne töötlemise alustamist on vajalik konsulteerimine asjakohase andmekaitseasutusega. Organisatsioonid, kes ei vii läbi nõutavaid DPIA-sid, seisavad silmitsi oluliste halduskaristustega GDPR alusel.
Põhipunktid
- Kohustuslik enne kõrge riskiga töötlemist: DPIA on nõutav, kui töötlemine tõenäoliselt toob kaasa suure riski üksikisikute õigustele ja vabadustele, eriti kui kasutatakse uusi tehnoloogiaid või profiilianalüüsi
- Hädavajalik poliitilise reklaami puhul: Poliitiliste reklaamide sihtimiseks isikuandmete kasutamisel, eriti eriliiki andmete nagu poliitilised vaated puhul, on tavaliselt nõutav DPIA
- Tuleb läbi viia ette: Hindamine tuleb läbi viia enne töötlemise algust, mitte pärast kampaaniate juba käivitamist
- Tuvastab ja leevendab riske: DPIA tuvastab süstemaatiliselt andmekaitse riske ja aitab organisatsioonidel rakendada asjakohaseid tehnilisi ja organisatsioonilisi meetmeid
- Võib nõuda konsulteerimist asutusega: Kui riskid jäävad pärast leevendusmeetmeid kõrgeks, peavad organisatsioonid enne jätkamist konsulteerima oma andmekaitseasutusega
- Näitab vastavust: DPIA läbiviimine ja dokumenteerimine on osa GDPR alusel kehtivast vastutuse põhimõttest ja näitab ennetavat vastavust
Andmekaitseriskide hindamine vs. riskihindamine
Kuigi mõlemad protsessid hindavad riske, on andmekaitseriskide hindamine konkreetne õiguslik nõue GDPR alusel, mis keskendub üksikisikuid puudutavatele privaatsuse ja andmekaitse riskidele. Üldine riskihindamine võib hõlmata laiemaid organisatsioonilisi või äririske, nagu mainevahetus, rahaline kahju või tegevuse julgeolek.
DPIA uurib konkreetselt, kuidas töötlemistoimingud mõjutavad üksikisikute õigusi ja vabadusi, arvestades selliseid tegureid nagu töötlemise laad, ulatus, kontekst ja eesmärgid. See nõuab konkreetset sisu, sealhulgas töötlemistoimingute kirjeldust, vajalikkuse ja proportsionaalsuse hinnangut, tuvastatud riske ja kavandatud kaitsemeetmeid.
Määruse 2024/900 alusel poliitilise reklaami kohta peavad organisatsioonid läbi viima ka süsteemsete riskide hindamise, kui nad kvalifitseeruvad väga suurte veebiplatvormidena (VLOP), kuid need on DPIA-dest eraldiseisvad, kuigi tulemused võivad üksteist mõjutada.