Procjena učinka na zaštitu podataka
Procjena učinka na zaštitu podataka (DPIA) formalni je postupak koji se koristi za identificiranje i minimiziranje rizika zaštite podataka prilikom obrade osobnih podataka. Organizacije moraju provesti DPIA prije obrade koja će vjerojatno rezultirati visokim rizikom za prava i slobode pojedinaca, osobito kada koriste nove tehnologije ili obrađuju posebne kategorije osobnih podataka.
Pravna osnova
"Ako je vjerojatno da će vrsta obrade, posebno korištenjem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, rezultirati visokim rizikom za prava i slobode fizičkih osoba, voditelj treba, prije obrade, provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka."
— Članak 35. stavak 1., Uredba (EU) 2016/679 (GDPR)
Zašto je važno
Procjene učinka na zaštitu podataka ključne su za sve organizacije koje koriste osobne podatke za ciljanje političkog oglašavanja ili tehnike dostave oglasa. Prema GDPR-u, voditelji moraju provesti DPIA kada je vjerojatno da će postupci obrade rezultirati visokim rizikom, posebno kada se koristi profiliranje, posebne kategorije podataka ili sustavno praćenje pojedinaca u velikoj mjeri.
Za političko oglašavanje, DPIA su posebno važni jer tehnike ciljanja često uključuju obradu osjetljivih osobnih podataka poput političkih mišljenja, koja su klasificirana kao posebna kategorija podataka prema GDPR-u. Nakladnici i pružatelji usluga političkog oglašavanja moraju procijeniti zahtijevaju li njihove prakse ciljanja DPIA prije pokretanja kampanja.
DPIA pomaže organizacijama da rano identificiraju rizike, provedu odgovarajuće zaštitne mjere i pokažu odgovornost. Također određuje je li potrebno savjetovanje s nadležnim tijelom za zaštitu podataka prije početka obrade. Organizacije koje ne provedu potrebne DPIA suočavaju se sa značajnim administrativnim kaznama prema GDPR-u.
Ključne točke
- Obvezno prije obrade visokog rizika: DPIA su potrebni kada je vjerojatno da će obrada rezultirati visokim rizikom za prava i slobode pojedinaca, osobito kada se koriste nove tehnologije ili profiliranje
- Ključno za političko oglašavanje: Ciljanje političkih oglasa korištenjem osobnih podataka, posebno posebnih kategorija poput političkih mišljenja, obično zahtijeva DPIA
- Mora se provesti unaprijed: Procjena mora biti provedena prije početka obrade, a ne nakon što su kampanje već pokrenute
- Identificira i ublažava rizike: DPIA sustavno identificiraju rizike zaštite podataka i pomažu organizacijama u provedbi odgovarajućih tehničkih i organizacijskih mjera
- Može zahtijevati savjetovanje s tijelom: Ako rizici ostanu visoki nakon mjera ublažavanja, organizacije moraju konzultirati svoje tijelo za zaštitu podataka prije nastavka
- Pokazuje usklađenost: Provođenje i dokumentiranje DPIA dio je načela odgovornosti prema GDPR-u i pokazuje proaktivnu usklađenost
Procjena učinka na zaštitu podataka u odnosu na procjenu rizika
Iako oba procesa procjenjuju rizike, procjena učinka na zaštitu podataka poseban je pravni zahtjev prema GDPR-u usredotočen na rizike privatnosti i zaštite podataka za pojedince. Opća procjena rizika može obuhvatiti šire organizacijske ili poslovne rizike, poput reputacijskog gubitka, financijskog gubitka ili operativne sigurnosti.
DPIA posebno ispituje kako postupci obrade utječu na prava i slobode pojedinaca, uzimajući u obzir čimbenike poput prirode, opsega, konteksta i svrhe obrade. Zahtijeva poseban sadržaj uključujući opis postupaka obrade, procjene nužnosti i proporcionalnosti, identificirane rizike i planirane zaštitne mjere.
Prema Uredbi 2024/900 o političkom oglašavanju, organizacije također moraju provesti procjene sustavnog rizika ako se kvalificiraju kao vrlo velike internetske platforme (VLOP), ali one su odvojene od DPIA, iako nalazi mogu međusobno utjecati.