Posúdenie vplyvu na ochranu údajov
Posúdenie vplyvu na ochranu údajov (DPIA) je formálny proces používaný na identifikáciu a minimalizáciu rizík v oblasti ochrany údajov pri spracúvaní osobných údajov. Organizácie musia vykonať DPIA pred spracúvaním, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody jednotlivcov, najmä pri používaní nových technológií alebo spracúvaní osobitných kategórií osobných údajov.
Právny základ
„Ak je pravdepodobné, že určitý druh spracúvania, najmä s využitím nových technológií, a so zreteľom na povahu, rozsah, kontext a účely spracúvania, bude mať za následok vysoké riziko pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu zamýšľaných operácií spracúvania na ochranu osobných údajov."
— Článok 35 ods. 1, Nariadenie (EÚ) 2016/679 (GDPR)
Prečo je to dôležité
Posúdenia vplyvu na ochranu údajov sú nevyhnutné pre akúkoľvek organizáciu, ktorá používa osobné údaje na cielenie politickej reklamy alebo techniky doručovania reklám. Podľa GDPR musia prevádzkovatelia vykonať DPIA, keď operácie spracúvania pravdepodobne povedú k vysokému riziku, najmä pri používaní profilovania, osobitných kategórií údajov alebo systematického monitorovania jednotlivcov vo veľkom rozsahu.
V prípade politickej reklamy sú DPIA obzvlášť důležité, pretože techniky cielenia často zahŕňajú spracúvanie citlivých osobných údajov, ako sú politické názory, ktoré sú podľa GDPR klasifikované ako osobitná kategória údajov. Vydavatelia a poskytovatelia služieb politickej reklamy musia posúdiť, či ich postupy cielenia vyžadujú DPIA pred spustením kampaní.
DPIA pomáha organizáciám včas identifikovať riziká, implementovať primerané záruky a preukázať zodpovednosť. Určuje tiež, či je pred začatím spracúvania potrebná konzultácia s príslušným orgánom na ochranu údajov. Organizácie, ktoré nevykonajú požadované DPIA, čelia významným správnym pokutám podľa GDPR.
Kľúčové body
- Povinné pred vysoko rizikovým spracúvaním: DPIA sú vyžadované, keď spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody jednotlivcov, najmä pri používaní nových technológií alebo profilovania
- Nevyhnutné pre politickú reklamu: Cielenie politických reklám pomocou osobných údajov, najmä osobitných kategórií ako politické názory, zvyčajne vyžaduje DPIA
- Musí byť vykonané vopred: Posúdenie musí byť vykonané pred začatím spracúvania, nie po tom, čo kampane už prebiehajú
- Identifikuje a zmierňuje riziká: DPIA systematicky identifikujú riziká v oblasti ochrany údajov a pomáhajú organizáciám implementovať primerané technické a organizačné opatrenia
- Môže vyžadovať konzultáciu s orgánom: Ak riziká zostávajú vysoké aj po opatreniach na ich zmiernenie, organizácie musia pred pokračovaním konzultovať so svojím orgánom na ochranu údajov
- Preukazuje súlad: Vykonávanie a dokumentovanie DPIA je súčasťou zásady zodpovednosti podľa GDPR a preukazuje proaktívny súlad
Posúdenie vplyvu na ochranu údajov vs. posúdenie rizík
Hoci oba procesy hodnotia riziká, posúdenie vplyvu na ochranu údajov je špecifický právny požiadavka podľa GDPR zameraná na riziká týkajúce sa súkromia a ochrany údajov jednotlivcov. Všeobecné posúdenie rizík môže pokrývať širšie organizačné alebo obchodné riziká, ako je poškodenie reputácie, finančné straty alebo prevádzkové zabezpečenie.
DPIA špecificky skúma, ako operácie spracúvania ovplyvňujú práva a slobody jednotlivcov, berúc do úvahy faktory ako povahu, rozsah, kontext a účely spracúvania. Vyžaduje špecifický obsah vrátane opisu operácií spracúvania, posúdení nevyhnutnosti a primeranosti, identifikovaných rizík a plánovaných záruk.
Podľa Nariadenia 2024/900 o politickej reklame musia organizácie tiež vykonávať systémové posúdenia rizík, ak sa kvalifikujú ako veľmi veľké online platformy (VLOP), ale tie sú oddelené od DPIA, hoci zistenia sa môžu navzájom ovplyvňovať.