Procena uticaja na zaštitu podataka o ličnosti predstavlja oblik strukturno složene procene rizika čija je osnovna svrha da kompletira sve elemente i načine zaštite i minimizuje potencijalne rizike narušavanja bezbednosti ličnih podataka.
Na osnovu člana 54. Zakona o zaštiti podataka o ličnosti rukovalac je dužan da izvrši procenu uticaja nameravane obrade na zaštitu podataka o ličnosti. Ova procena je izričita zakonska obaveza u slučaju obrade posebne vrste podataka upotrebom novih tehnologija ili nekom drugom vrstom obrade koje mogu prouzrokovati visok rizik za pojedince čiji se lični podaci obrađuju, kao što su biometrijski podaci lica ili otiska dlana, kao i u slučaju sistemskog nadzora nad javno dostupnim površinama, kao što je upotreba pametnog video nadzora.
Šta je „visok rizik“?
- Svako uvođenje nove tehnologije sa sobom povlači niz različitih rizika, zato pre početka obrade podataka novim tehničkim rešenjima istu treba preispitati sprovođenjem DPIA, koja ima krucijalnu ulogu u procesu zakonske usklađenosti rukovaoca.
- Drugi „visokorizični“ procesi uključuju sve one koji mogu rezultirati različitim konsekvencama koja se nepovoljno odražavaju na prava i slobode fizičkih lica – od toga da Lice može postati žrtva napada, zloupotreba, kleveta ili čak žrtva finansijske prevare.
Zašto treba da sprovedem DPIA?
Ukoliko postoji zabrinutost od štete usled sprovođenja nekih vrsta obrade ili postoji pretpostavka da će uvođenjem novih tehnologija privatnost lica biti povređena, Procena uticaja / DPIA postaje zakonska obaveza privrednih društava i organizacija.
Ova procena mora da sadrži najmanje opis svih predviđenih radnji obrade i svrhu obrade podataka, procenu neophodnosti i srazmernosti vršenja radnji obrade, procenu rizika za prava lica i slobode, i opis mera koje se nameravaju preduzeti, a tiču se tehničkih i organizacionih mera. Prilikom sprovođenja ove procene očekivano je da se proceni i oceni postojeće stanje, kao i nemogućnost rukovaoca, a koji je organ vlasti u ovim slučajevima, da postojećim sredstvima vrši poslove iz svoje nadležnosti.
Takođe, rukovalac je u obavezi da, u slučaju da je obrada dozvoljena, svako lice čije podatke obrađuje obavesti o svim aspektima obrade podataka na razumljiv, lako dostupan, jasan i jednostavan način.
*** Štiteći podatke o ličnosti svojih zaposlenih, klijenata i posetilaca sprovođenjem procene uticaja, organizacija postaje relevantan nosilac zaštite ljudskih prava i transparentno jača sopstveni brend i poslovne vrednosti dobijajući na kredibilitetu i reputaciji. ***
Ukoliko procena uticaja obrade ukaže na visok rizik, rukovalac podacima je dužan da traži mišljenje poverenika i da preduzme nužne mere za umanjenje tog rizika.
Rukovanjem i izlaganjem podataka visokorizičnim procesima obrade bez sprovođenja procene uticaja na zaštitu podataka predstavlja ozbiljan prekršaj za koji je predviđena i odgovarajuća kazna.
Šta se dešava sa naročito osetljivim podacima?
Zabranjena je obrada kojom se otkrivaju rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih i biometrijskih podataka u cilju identifikacije lica, i podataka o zdravstvenom stanju, seksualnom životu i seksualnoj orijentaciji fizičkog lica. Međutim, uvek postoje i izuzeci ovom pravilu koji važe u posebnim slučajevima kada je obrada neophodna.
Koja prava ima lice čiji podaci se prikupljaju i obrađuju?
Lice na koje se podaci odnose ima pravo na transparentnost aktivnosti obrade podataka, kao i na informacije o identitetu i kontakt podacima rukovaoca i lica za zaštitu podataka, svrsi i pravnom osnovu za obradu, interesima rukovalaca ili treće strane, primaocu podataka, nameri da se podaci iznesu iz države, roku čuvanja podataka, i o pravu pristupa, ispravke, i brisanja podataka.
Lice takođe ima pravo da opozove pristanak, da podnese pritužbu povereniku, da zna da li je davanje podataka zakonska ili ugovorna obaveza, i da bude informisano o postojanju automatizovanog donošenja odluke, uključujući profilisanje.
Pored ovoga, lice ima pravo na ograničenje obrade podataka, i na prenos podataka drugom rukovaocu.
Da li mora da se vodi evidencija obrade podataka?
Privredni subjekti i organizacije koje imaju manje od 250 zaposlenih lica nemaju obavezu da vode evidenciju obrade, osim ukoliko ta obrada podataka može da prouzrokuje visok rizik po prava i slobode lica, ako obrada nije povremena i ako obuhvata posebne vrste podataka o ličnosti ili podatke o krivičnim presudama, kažnjivim delima i merama bezbednosti.
Šta se desi ako dođe do povrede podataka o ličnosti?
U slučaju povrede podataka o ličnosti, neophodno je obavestiti poverenika u roku od 72 časa, kako bi se preduzele adekvatne mere zaštite. Takođe je nužno obavestiti i lice čije podaci su povređeni, ukoliko postoji značajan rizik po prava i slobode lica.
Ukoliko želite profesionalnu izradu procene uticaja DPIA i hoćete da dobijete temeljno zakonsko usklađivanje kontaktirajte nas i zakažite konsultacije: