Ocena učinka v zvezi z varstvom podatkov

Ocena učinka v zvezi z varstvom podatkov (DPIA) je formalni postopek, ki se uporablja za ugotavljanje in zmanjševanje tveganj za varstvo podatkov pri obdelavi osebnih podatkov. Organizacije morajo izvesti oceno učinka v zvezi z varstvom podatkov pred obdelavo, ki lahko povzroči veliko tveganje za pravice in svoboščine posameznikov, zlasti pri uporabi novih tehnologij ali obdelavi posebnih vrst osebnih podatkov.

Pravna podlaga

„Kadar je določena vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, verjetno visoko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo izvede oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov."

— Člen 35(1), Uredba (EU) 2016/679 (GDPR)

Zakaj je pomembno

Ocene učinka v zvezi z varstvom podatkov so bistvenega pomena za vsako organizacijo, ki uporablja osebne podatke za ciljanje političnega oglaševanja ali tehnike prikazovanja oglasov. Po GDPR morajo upravljavci izvesti oceno učinka v zvezi z varstvom podatkov, kadar bodo dejanja obdelave verjetno povzročila veliko tveganje, zlasti pri uporabi profiliranja, posebnih vrst podatkov ali sistematičnega spremljanja posameznikov v velikem obsegu.

Za politično oglaševanje so ocene učinka v zvezi z varstvom podatkov še posebej pomembne, ker tehnike ciljanja pogosto vključujejo obdelavo občutljivih osebnih podatkov, kot so politična prepričanja, ki so po GDPR razvrščena med posebne vrste podatkov. Izdajatelji in ponudniki storitev političnega oglaševanja morajo pred začetkom kampanj oceniti, ali njihove prakse ciljanja zahtevajo oceno učinka v zvezi z varstvom podatkov.

Ocena učinka v zvezi z varstvom podatkov pomaga organizacijam zgodaj prepoznati tveganja, izvesti ustrezne zaščitne ukrepe in dokazati odgovornost. Prav tako določa, ali je pred začetkom obdelave potrebno posvetovanje z ustreznim organom za varstvo podatkov. Organizacijam, ki ne izvedejo zahtevanih ocen učinka v zvezi z varstvom podatkov, grozijo znatne upravne globe po GDPR.

Ključne točke

Obvezno pred obdelavo z visokim tveganjem: Ocene učinka v zvezi z varstvom podatkov so zahtevane, kadar bo obdelava verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, zlasti pri uporabi novih tehnologij ali profiliranja
Bistveno za politično oglaševanje: Ciljanje političnih oglasov z uporabo osebnih podatkov, zlasti posebnih vrst, kot so politična prepričanja, običajno zahteva oceno učinka v zvezi z varstvom podatkov
Izvesti jo je treba vnaprej: Oceno je treba izvesti pred začetkom obdelave, ne potem, ko kampanje že potekajo
Prepoznava in zmanjšuje tveganja: Ocene učinka v zvezi z varstvom podatkov sistematično prepoznavajo tveganja za varstvo podatkov in pomagajo organizacijam izvajati ustrezne tehnične in organizacijske ukrepe
Lahko zahteva posvetovanje z organom: Če tveganja po izvedbi ukrepov za zmanjšanje ostanejo visoka, se morajo organizacije pred nadaljevanjem posvetovati z organom za varstvo podatkov
Dokazuje skladnost: Izvajanje in dokumentiranje ocen učinka v zvezi z varstvom podatkov je del načela odgovornosti po GDPR in kaže proaktivno skladnost

Ocena učinka v zvezi z varstvom podatkov v primerjavi z oceno tveganja

Čeprav oba postopka ocenjujeta tveganja, je ocena učinka v zvezi z varstvom podatkov posebna zakonska zahteva po GDPR, osredotočena na tveganja za zasebnost in varstvo podatkov posameznikov. Splošna ocena tveganja lahko zajema širša organizacijska ali poslovna tveganja, kot so škoda ugledu, finančna izguba ali operativna varnost.

Ocena učinka v zvezi z varstvom podatkov posebej preučuje, kako dejanja obdelave vplivajo na pravice in svoboščine posameznikov, pri čemer upošteva dejavnike, kot so narava, obseg, okoliščine in nameni obdelave. Zahteva posebno vsebino, vključno z opisom dejanj obdelave, ocenami nujnosti in sorazmernosti, prepoznanimi tveganji ter načrtovanimi zaščitnimi ukrepi.

Po Uredbi 2024/900 o političnem oglaševanju morajo organizacije izvajati tudi ocene sistemskega tveganja, če izpolnjujejo pogoje za zelo velike spletne platforme (VLOP), vendar so te ločene od ocen učinka v zvezi z varstvom podatkov, čeprav lahko ugotovitve med seboj vplivajo druga na drugo.

Povezani pojmi

Da. Kot uredba EU je TTPA neposredno uporabna v vseh državah članicah brez potrebe po nacionalnem prenosu. Države članice morajo le določiti organe in kazni.

Zahteve glede preglednosti zagotavljajo, da vsi politični akterji delujejo po enakih pravilih. Volivci lahko vidijo, kdo razpolaga s sredstvi in kako se ta uporabljajo, kar podpira pošteno konkurenco.

Preglednost gradi zaupanje z dokazovanjem volilcem, da politični akterji delujejo odprto. Skrito financiranje ali ciljanje spodkopava zaupanje v demokratične procese.

Z zahtevo po jasni označitvi in dostopnih informacijah o preglednosti TTPA pomaga ljudem prepoznati politično oglaševanje in razumeti, kdo jih poskuša vplivati.

Mladi ljudje še ne morejo voliti, vendar so lahko tarča vplivanja na prihodnje vedenje ali manipuliranja družinskih članov. Prepoved ščiti mladoletnike pred politično izkoriščanjem.

Politično oglaševanje vključuje vsako plačano sporočilo, ki promovira političnega akterja, vpliva na volilno vedenje, vpliva na izid volitev ali referendumov ali vpliva na zakonodajne ali regulativne procese. Vključuje tudi vsako oglaševanje v imenu ali za račun političnega akterja.

Ne. TTPA ne vpliva na nacionalne predpise o vsebini političnih oglasov, financiranju kampanj, volilnih obdobjih ali splošnih prepovedih političnega oglaševanja. K obstoječim nacionalnim zakonom dodaja zahteve glede preglednosti.

Uradno ime je Uredba (EU) 2024/900 Evropskega parlamenta in Sveta o preglednosti in ciljanju političnega oglaševanja. Objavljena je bila 20. marca 2024.