DPIA je srce GDPR-a. U svojoj srži, GDPR kontrolu nad osobnim podacima želi vratiti vlasnicima kroz promjenu načina razmišljanja o njima, a odgovorno ponašanje prema osobnim podacima na društvenoj razini moguće je postići jedino odgojem generacija svjesnih rizika neodgovorne ili zlonamjerne uporabe osobnih podataka. Svi smo svjesni tajnosti PIN-a za svoju platnu karticu. Svi mi sa dozom opreza pristupamo internetskoj trgovini. Dok smo s unosom broja kartice vrlo oprezni, ime i prezime na istom tom web shopu unosimo bez problema. Kako smo stvorili svijest o važnosti osobnih podataka vezanih uz bankovni račun, tako ćemo kroz nadolazeće godine stvarati svijest o ostalim kategorijama osobnih podataka. Osobni podaci u informacijskim sustavima stvaraju naš digitalni identitet - set podataka koji nas jednoznačno određuje i govori nešto o nama. Što je količina podataka o nama pohranjenih u informacijskim sustavima veća, to su veće mogućnosti njihove analize. Danas naše kretanje prate telekom operateri, banke, taksi kompanije, tvrtke za tehničku zaštitu... Potrošačke navike prate banke, trgovine. Nevjerojatno je gdje sve ostavljamo podatke o sebi, svojoj djeci, obitelji, prijateljima... Posjedovanje i obrada ovih informacija postala je stvar političke moći, tržišne dominacije, profita... DPIA nije ništa drugo do li razumijevanje rizika vezanog uz prikupljanje i obradu osobnih podataka. Sustavno, ponovljivo, transparentno i svrsishodno.
Transparentnost stvara povjerenje
Jedini je problem u tome što su podaci naši (pa zovu se osobni podaci, zar ne?), a procjenu rizika vezanog uz njihovu neprimjerenu uporabu, zaštitu i curenje trebao bi raditi onaj koji ih prikuplja i obrađuje. Kako bi se između vlasnika osobnih podataka (ispitanika) i organizacija koje ih prikupljaju i obrađuju (voditelja i izvršitelja obrade) stvorilo povjerenje, preporučljivo je rezultate DPIA javno objavljivati. Budite transparentni. Objavite popis obrada osobnih podataka, sa svrhama obrade, uvjetima i osnovama temeljem kojih se obrade rade, zajedno sa rezultatima DPIA i mjerama zaštite. Idealno ćete ovakvu objavu napraviti na zasebnom dijelu web sitea koji ćete nazvati “Privatnost“ ili slično. Učinit ćete to na jednostavan i pregledan način koji će prezentirati koliko svoje klijente cijenite i kakvu pažnju poklanjate njihovoj sigurnosti.
Kada trebamo DPIA?
Kad god postoji vjerojatnost da bi neka obrada podataka mogla rezultirati visokim rizikom za prava i slobode pojedinca, potrebno je provesti DPIA. Ovo se posebno odnosi na uvođenje novih tehnologija poput primjerice biometrijskih čitača, prepoznavanja lica, ali i novih IT servisa koji obrađuju osobne podatke.
Problem kod DPIA-e je u tome što ne znate kolika je vjerojatnost visokog rizika obrada sve dok ne provedete DPIA-u. Barem u nekom smanjenom obimu. Svatko će razvijati DPIA metodologiju koja najbolje odgovara internoj organizacijskoj kulturi i koju će najbolje moći uskladiti sa već postojećim metodologijama procjene rizika. Smjernice radne grupe EU za GDPR preporučaju da se DPIA provodi kad je to potrebno, ali i kad niste sigurni da li je potrebno. Dobro odrađena DPIA temeljit će se na prikupljenim informacijama o načinu obrade, zaštitnim mehanizmima, vrsti i količini podataka koji se obrađuju, pravima pristupa podacima, razlozima obrade i svim ostalim informacijama koje na bilo koji način mogu utjecati na sigurnost obrade i utjecaj na ispitanika. Ovakva DPIA zahtijevat će ne baš zanemarivu količinu vremena i resursa. To ne želite. Umjesto toga, postupak podijelite u nekoliko faza:
- Da li obrada uključuje osobne podatke?
- Ako da, koliko ih je, i koje su vrste. Ako ne, ne treba DPIA?
- Ako ih je mnogo i/ili se radi o posebnim kategorijama osobnih podataka, provedite DPIA. Ako nije, obradu, zajedno sa razlozima za ne-provođenje DPIA unesite u vaš registar obrada osobnih podataka.
Mudro je imati popis IT servisa kako nam to nalažu dobre prakse upravljanja informacijskim sustavima, te podatke o provedbi DPIA-e uključiti u podatke o IT servisu. Uz malo truda, registar obrada i registar IT servisa mogli bi postati jedno.
DPIA se mora provesti za svaku obradu osobnih podataka koja bi mogla rezultirati visokim rizikom bez obzira radi li se u sustavnoj repetitivnoj obradi u okviru nekog uspostavljenog IT servisa, ili o jednokratnoj obradi koja može biti banalna poput eksportiranja i obrade podataka u Excel tablici na vašem laptopu, ili pak kompleksna analiza podataka kroz OLAP kocke, data warehouse ili data lake. Kako bi odredili treba li za neku obradu provesti DPIA, možete se voditi i slijedećim smjernicama:
- Radi li obrada profiliranje ili evaluaciju ispitanika?
- Služi li obrada automatskom donošenju odluka sa značajnim utjecajem na ispitanika?
- Radi li se o sustavnom nadziranju ispitanika?
- Uključuje li obrada osjetljive osobne podatke?
- Radi li se o opsežnoj obradi velike količine podataka?
- Kombinirate li podatke iz više različitih izvora?
- Uključuje li obrada podatke posebno ranjivih skupina ispitanika?
- Radi li se o inovativnoj primjeni novih tehnologija (npr. prepoznavanja lica)?
- Uključuje li obrada transfer podataka preko granica EU?
- Može li obrada utjecati na prava ispitanika?
Što za vas znači velika količina podataka, opet je stvar vrste podataka. Jedan DVD sa snimljenim svjedočenjem tajnog svjedoka u sudskom procesu može biti velika količina podataka, dok baza sa tisuću podataka o članovima sindikata ne mora biti.
Kako provesti DPIA?
Kako god to radili, DPIA morate provesti prije obrade na koju se odnosi. Nedostatak detaljnih informacija o obradi ne smije biti izgovor za odlaganje. Ako ste mudri, DPIA će postati integrirani dio upravljanja rizikom informacijske sigurnosti. Dakle ili će se provoditi kontinuirano, ili će biti u uskoj sprezi sa procesom upravljanja promjenama i projektima. Kao i procjena rizika informacijske sigurnosti ili operativnog rizika uopće, i DPIA mora biti osjetljiva na promjene u okruženju rizika.
Za provedbu DPIA odgovoran je voditelj obrade, odnosno organizacija koja je osobne podatke prikupila temeljem prihvatljivog osnova. Ako su podaci na obradu ustupljeni nekom drugom (izvršitelju obrade) i on mora provesti DPIA, ali krajnja je odgovornost na voditelju obrade. Samu DPIA-u može provesti i treća strana, što će u slučajevima kad se podaci povjeravaju na obradu vanjskom izvršitelju obrade vjerojatno biti najčešći slučaj.
Metodologija provedbe DPIA mora u obzir uzimati dovoljno parametara kako bi davala vjerne rezultate, mora biti ponovljiva, dokumentirana i nadasve, mora biti dizajnirana tako da ne opterećuje (previše) postojeće procese.
Metodologije temeljene sa analizi scenarija pokazale su se prilično učinkovite. Obzirom da se DPIA inicijalno provodi radi promjena (uvođenja nove obrade ili IT servisa), za očekivati je da će postojati projektni tim zadužen za njenu provedbu. Taj će tim radi svoje osnovne dužnosti imati većinu, ako ne i sve potrebne kompetencije za procjenu DPIA. Što će im nedostajati, tražit će van tima, ili van organizacije kada je to potrebno. Ovdje se prvenstveno misli na stručnjake specijalizirane za informacijsku sigurnost i pravnike specijalizirane za privatnost i IT pravo. DPIA na osobne podatke i posljedice njihove obrade gleda sa aspekta vlasnika. Odabir scenarija za analizu trebao bi stoga uvijek razmatrati kakve će posljedice određeni scenarij imati po ispitanika, odnosno vlasnika osobnih podataka. Kod scenarija ćete promatrati dva glavna faktora:
- Utjecaj na ispitanika
- Vjerojatnost ostvarenja scenarija
Rezultat DPIA neće biti veličina koja ukazuje na utjecaj, kako bi se iz naziva moglo zaključiti. Bit će to veličina koja ukazuje na rizik, kao faktor utjecaja i vjerojatnosti. Ovo nam otvara mogućnosti za smanjenje rizika u skladu s metodologijom upravljanja rizikom koju smo već davno usvojili ;). Potrebno je razmotriti mjere kojima bi se utjecaj i vjerojatnost smanjili na prihvatljivu razinu. Više informacija o upravljanju rizikom naći ćete u ISO 31000.
DPIA nije jednokratna aktivnost. To je proces kontinuiranog upravljanja rizikom vezanim uz osobne podatke. Više informacija, kao i link na službene smjernice za provedbu DPIA, dostupno je ovdje.
Komunikacija DPIA s DPA (Data Protection Authority - kod nas AZOP)
Ukoliko DPIA ukaže na veliki rizik po prava i slobode pojedinaca, prvo se morate pobrinuti implementirati odgovarajuće mjere kojima ćete ovaj rizik smanjiti na prihvatljivu razinu. Što je to prihvatljiva razina rizika, ovisit će o vašoj internoj odluci. Ona bi trebala biti temeljena na etičkim načelima, a tamo gdje ona nisu dovoljno visoka, na strahu od DPA.
Ukoliko rizik ne možete smanjiti na prihvatljivu razinu, morat ćete se konzultirati s DPA. Postoje i iznimke ovom pravilu kojima se ovdje nećemo baviti.
Izvještaj o provedenoj DPIA, morat će sadržavati slijedeća glavna poglavlja:
- detaljan opis obrade uključujući i prirodu, opseg, kontekst, svrhu obrade, tehničke podatke, podatke o sustavima i upravljanju sustavima za obradu,
- informacije procjeni zakonitosti obrade, etičnosti i ispunjavanja prava ispitanika,
- informacije o rizicima po prava i slobode pojedinca i načinima na koje su rizici mitigirani i
- informacije o uključenosti svih zainteresiranih strana u postupak procjene.
Anex 2 smjernica daje detaljnije informacije o sadržaju svakog od navedenih poglavlja.
Kad DPIA postane integrirani dio sustava upravljanja rizikom, stvorili ste preduvjete za privacy by design. To će biti tema slijedeće lekcije.
