Datu aizsardzības ietekmes novērtējums
Datu aizsardzības ietekmes novērtējums (DAIN) ir formāls process, ko izmanto, lai identificētu un mazinātu datu aizsardzības riskus, apstrādājot personas datus. Organizācijām ir jāveic DAIN pirms tādas apstrādes, kas, iespējams, radīs augstu risku personu tiesībām un brīvībām, īpaši izmantojot jaunas tehnoloģijas vai apstrādājot īpašu kategoriju personas datus.
Tiesiskais pamats
"Ja kāda veida apstrāde, jo īpaši izmantojot jaunas tehnoloģijas, un ņemot vērā apstrādes raksturu, apjomu, apstākļus un mērķus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic iecerēto apstrādes darbību ietekmes uz personas datu aizsardzību novērtējumu."
— 35. panta 1. punkts, Regula (ES) 2016/679 (VDAR)
Kāpēc tas ir svarīgi
Datu aizsardzības ietekmes novērtējumi ir būtiski jebkurai organizācijai, kas izmanto personas datus politiskās reklāmas mērķauditorijas atlasē vai reklāmu piegādes metodēs. Saskaņā ar VDAR pārziņiem ir jāveic DAIN, ja apstrādes darbības, iespējams, radīs augstu risku, jo īpaši izmantojot profilēšanu, īpašu kategoriju datus vai sistemātisku personu uzraudzību plašā mērogā.
Politiskās reklāmas gadījumā DAIN ir īpaši svarīgi, jo mērķauditorijas atlases metodes bieži ietver sensitīvu personas datu, piemēram, politisko uzskatu, apstrādi, kas saskaņā ar VDAR ir klasificēti kā īpašu kategoriju dati. Izdevējiem un politiskās reklāmas pakalpojumu sniedzējiem ir jānovērtē, vai viņu mērķauditorijas atlases prakse prasa DAIN pirms kampaņu uzsākšanas.
DAIN palīdz organizācijām savlaicīgi identificēt riskus, ieviest atbilstošus drošības pasākumus un uzrādīt atbildību. Tas arī nosaka, vai pirms apstrādes uzsākšanas ir nepieciešama konsultēšanās ar attiecīgo datu aizsardzības iestādi. Organizācijām, kas neveic nepieciešamos DAIN, saskaņā ar VDAR draud ievērojami administratīvi naudas sodi.
Galvenie punkti
- Obligāti pirms augstas riska apstrādes: DAIN ir nepieciešami, ja apstrāde, iespējams, radīs augstu risku personu tiesībām un brīvībām, jo īpaši izmantojot jaunas tehnoloģijas vai profilēšanu
- Būtiski politiskajai reklāmai: Politisko reklāmu mērķauditorijas atlase, izmantojot personas datus, īpaši īpašu kategoriju datus, piemēram, politiskos uzskatus, parasti prasa DAIN
- Jāveic iepriekš: Novērtējums jāveic pirms apstrādes uzsākšanas, nevis pēc tam, kad kampaņas jau darbojas
- Identificē un mazina riskus: DAIN sistemātiski identificē datu aizsardzības riskus un palīdz organizācijām ieviest atbilstošus tehniskos un organizatoriskos pasākumus
- Var būt nepieciešama konsultēšanās ar iestādi: Ja riski paliek augsti pēc riska mazināšanas pasākumu ieviešanas, organizācijām pirms turpināšanas ir jākonsultējas ar savu datu aizsardzības iestādi
- Uzrāda atbilstību: DAIN veikšana un dokumentēšana ir daļa no VDAR atbildības principa un liecina par proaktīvu atbilstības nodrošināšanu
Datu aizsardzības ietekmes novērtējums pret riska novērtējumu
Lai gan abi procesi novērtē riskus, datu aizsardzības ietekmes novērtējums ir īpaša juridiskā prasība saskaņā ar VDAR, kas vērsta uz privātuma un datu aizsardzības riskiem personām. Vispārējs riska novērtējums var aptvert plašākus organizatoriskos vai uzņēmējdarbības riskus, piemēram, reputācijas zaudējumus, finansiālus zaudējumus vai darbības drošību.
DAIN konkrēti pārbauda, kā apstrādes darbības ietekmē personu tiesības un brīvības, ņemot vērā tādus faktorus kā apstrādes raksturs, apjoms, apstākļi un mērķi. Tam ir nepieciešams konkrēts saturs, tostarp apstrādes darbību apraksts, nepieciešamības un samērīguma novērtējumi, identificētie riski un plānotie drošības pasākumi.
Saskaņā ar Regulu 2024/900 par politiskās reklāmas caurskatāmību organizācijām ir jāveic arī sistēmisku risku novērtējumi, ja tās atbilst ļoti lielu tiešsaistes platformu (ĻLTP) kritērijiem, taču tie ir atšķirīgi no DAIN, lai gan secinājumi var viens otru informēt.