Posúdenie vplyvu na ochranu údajov podľa GDPR

Nie, nie je to „nový“ bezpečnostný projekt. Avšak z pohľadu slovenského podnikateľa ide zase o to isté. Opäť od neho regulácia vyžaduje zložité a administratívne náročné posudzovanie záležitostí, ktorým nerozumie a vo väčšine prípadov ani nepovažuje za dôležité rozumieť. Bohužiaľ dávame mu za pravdu. Akademické hodnotenie rizík a právne váženie proporcionality spracúvania osobných údajov so záujmami prevádzkovateľa z hľadiska nevyhnutnosti dosahovania stanovených cieľov, a to navyše podľa predstáv a „roztopaše“ úradníkov nezvládne každý. Otázna zostáva aj reálna pridaná hodnota pre praktickú ochranu osobných údajov. Prečítajte si viac o najzložitejšej administratívnej povinnosti, ktorú prináša GDPR.

STEINIGER | law firm 11. 04. 2018 15 min.

    Čo to je DPIA?

    Termín pohrebu bezpečnostných projektov je stanovený na 25. mája 2018. No z pohľadu malých a stredných firiem to nie je dôvod na radosť, akoby sa na prvý pohľad mohlo zdať. Na Slovensko totiž prichádza „Posúdenie vplyvu na ochranu údajov“ (DPIA – Data Protection Impact Assessment, resp. PIA – Privacy Impact Assessment – ďalej len ako „DPIA“).

    Tento nový právny inštitút, ktorý prináša GDPR predstavuje v rámci slovenského právneho prostredia výzvu v plnení administratívnych povinností, na ktorú nie sú slovenské firmy ani zďaleka pripravené. Na Slovensku je síce už od roku 2002 povinnosť za určitých okolností mať vypracované bezpečnostné projekty [1], ale táto povinnosť najmä v sektore malých a stredných podnikov zostala do značnej miery ignorovaná. Aj napriek tomu, že bezpečnostné projekty sú tu už 15 rokov dovolíme si tvrdiť, že väčšina malých a stredných slovenských firiem na to kašle, alebo má len formálny papier, ktorý nič nerieši.

    Toto úradnícke „huncútstvo“, ktoré budeme označovať v ďalšom výklade podľa zaužívanej zahraničnej skratky ako DPIA je normatívne vyjadrené v článku 35 GDPR a bude v plnej miere recipované aj do nášho národného zákona o ochrane osobných údajov, ktorý je aktuálne už v medzi rezortnom pripomienkovom konaní (pozri § 43 návrhu zákona o ochrane osobných údajov).

    DPIA je niečo, čo na Západe roky používali a vyvíjali v podstate na miesto našich bezpečnostných projektov a teraz to prichádza aj k nám. Prístup DPIA, ktorý je nevyhnutne spojený aj s tvorbou súvisiaceho dokumentu, ako aj moment vzniku povinnosti vytvoriť toto posúdenie stanovilo GDPR zásadne odlišne od toho, čo aktuálne spájame s povinnosťou vytvoriť bezpečnostný projekt podľa nášho národného práva. Veľmi podstatným diferenciačným znakom je napríklad to, že pokiaľ pri bezpečnostnom projekte je dôležité zameriavať sa na riziká pôsobiace na bezpečnosť a záujmy organizácie, resp. prevádzkovateľa pri DPIA je podstatné zameriavať sa na riziká pôsobiace na práva a slobody dotknutých osôb. Rovnako vznik povinnosti vykonať DPIA je úplne mimo podmienok pre vznik povinnosti vypracovať bezpečnostný projekt. Tiež minimálne obsahové náležitosti na dokumentáciu DPIA stanovené v GDPR sa odlišujú od minimálnych obsahových náležitostí vyžadovaných národným právom vo vzťahu k bezpečnostným projektom. Aj napriek určitým paralelám a identickej povinnosti dokumentovať prijaté bezpečnostné opatrenia nemožno DPIA stotožňovať s bezpečnostnými projektami ako ich pozná naše aktuálne účinné právo – i.e. zákon č. 122/2013 Z. z. a vyhláška č.  164/2013 Z. z.

    Kto to musí mať?

    Povinnosť vykonať a zdokumentovať vykonanie DPIA má iba prevádzkovateľ. V prípade, ak je do spracúvania osobných údajov, ktoré podlieha povinnosti vykonať DPIA zahrnutý aj sprostredkovateľ, ten je podľa článku 28 ods. 3 písm. f) GDPR iba povinný pomáhať prevádzkovateľovi v procese prípravy DPIA s prihliadnutím na povahu spracúvania a informácie dostupné prevádzkovateľovi, i.e. sprostredkovatelia nemusia mať spracované vlastné dokumentácie týkajúce sa vykonávania DPIA.

    To však neznamená, že sprostredkovatelia by mali ignorovať svoje technológie a riziká pre práva a slobody, ktoré vznikajú pri spracúvaní údajov, ktoré sú súčasťou ich riešení a biznis modelov, ktoré predávajú svojim klientom (prevádzkovateľom). Pre takýchto sprostredkovateľov (napr. poskytovateľov cloudových služieb) by bolo ideálne, keby sa im podarilo vytvoriť unifikované DPIA, ktoré svojmu klientovi (prevádzkovateľovi) dodajú v rámci zmluvných vzťahov, čím by mu poskytli právnu ochranu, zvýšili legitimitu svojho podnikania a získali konkurenčnú výhodu (služba + právna ochrana k nej). Prevádzkovateľ totiž musí vedieť za každých okolností preukázať súlad s GDPR a vždy zodpovedá aj za spôsob spracúvania osobných údajov, ktorý môže spôsobiť hmotnoprávny vznik povinnosti vykonať DPIA podľa článku 35 GDPR, a to aj keď spracúvanie spôsobujúce vznik predmetnej povinnosti prakticky zabezpečujú iné subjekty (sprostredkovatelia).

    Tiež v prípadoch, keď má Prevádzkovateľ zodpovednú osobu (DPO – Data Protection Officer) je táto na prevádzkovateľovu žiadosť povinná participovať na vykonávaní DPIA a prevádzkovateľ je sa s ňou povinný radiť, pričom je vhodné odporúčania zodpovednej osoby zdokumentovať v DPIA. S týmto by bolo tiež vhodné počítať zo strany sprostredkovateľov pripravujúcich unifikované DPIA riešenie pre svojich klientov – prevádzkovateľov informačných systémov, v ktorých sú spracúvané osobné údaje.

    GDPR v ustanovení článku 35 ods. 1 stanovuje, že DPIA musí vykonať prevádzkovateľ hlavne v prípadoch, keď pri využití nových technológií pravdepodobne bude dochádzať k vysokému riziku pre práva a slobody dotknutých osôb. Evidentne ide o naschvál vágne a technicky neutrálne vymedzený vznik povinnosti, keďže GDPR toto dopĺňa demonštratívnym výpočtom bližšie špecifikovaných situácii v článku 35 ods. 3 GDPR, ako aj tým, že splnomocňuje dozorné orgány, aby vydali konkrétne zoznamy tých spracovateľských operácií s osobnými údajmi, ktoré budú podliehať povinnosti vykonať a zdokumentovať DPIA.

    Kedy a v akých prípadoch teda treba mať DPIA?

    Buďme teda podľa možností konkrétni a uveďme aj s ohľadom na soft law, ktoré už vyšlo z WP 29[2]prípady, kedy budú prevádzkovatelia s ohľadom na právny názor dozorných orgánov povinní vykonať DPIA a zdokumentovať tento proces:

    • Profilovanie dotknutých osôb[3];
    • Automatizované spracúvanie osobných údajov generujúce rozhodnutia s právnym účinkom na dotknutú osobu (napr. posudzovanie bonity veriteľskými registrami bankových či nebankových klientskych údajov, AML systémy vo finančnom sektore, systémy na obmedzenie prístupu k hazardu apod.);
    • Spracúvanie tzv. citlivých osobných údajov (napr. rasa, zdravotné údaje, biometrické údaje, náboženské vyznanie, členstvo v odboroch, rodné číslo apod.) vo veľkom rozsahu – pričom nie je explicitne jasné, čo sa tým rozumie. Existujú iba určité výkladové pomôcky pre určenie veľkého rozsahu (napr. počet dotknutých osôb v pomere k relevantnej populácii, rozsah celkových údajov zahrnutých do spracúvania, trvanie spracúvania, geografický rozsah aktivít). Pri tomto bode je zaujímavé, že soft law odporúča ísť aj nad rámec konvenčnej osobitnej kategórie osobných údajov, tak ako je definovaná v článku 9 ods. 1 GDPR a považovať za citlivé osobné údaje v kontexte potreby vykonať DPIA aj iné údaje s potenciálom rizika pre práva a slobody dotknutých osôb (napr. dáta z elektronickej komunikácie pri OTT službách, geo-lokalizačné dáta, finančné dáta zneužiteľné na platobné podvody). Tiež sem možno zaradiť rôzne cloudové služby, ktoré sú poskytované ľuďom v rámci ich výsostne osobných činností a aktivít (napr. emailové služby, diáre, elektronické knihy s možnosťou robenia poznámok, rôzne smart aplikácie zaznamenávajúce jedlá, spánok, cvičenia, pohyb apod.);
    • Systematické monitorovanie verejne prístupných miest vo veľkom rozsahu (napr. využívanie kamerových systémov v nákupných centrách, RFID čipové náramky v zábavných parkoch a veľkých rezortoch, IMSI catchery a WIFI tracking využívaný v retailových prevádzkach apod.);
    • Monitorovanie zamestnancov v práci (napr. sledovanie browsingu, elektronickej pošty, elektronická dochádzka apod.);
    • Vykonávanie cezhraničných prenosov dát obsahujúcich osobné údaje do krajín mimo EÚ;
    • Vykonávanie spracúvania osobných údajov, ktoré zasahuje citlivé skupiny dotknutých osôb (deti, zamestnanci, pacienti, zdravotne znevýhodnení apod.);
    • Využívanie inovatívnych technologických a organizačných riešení ako napr. odtlačok prsta a rozpoznávanie tváre pre zlepšenie kontroly fyzického prístupu do určených objektov, príp. niektoré IoT technológie s vplyvom na súkromie ľudí (napr. dáta z palubných navigácií alebo smart televízorov).

     

    Pochopiteľne s ohľadom na dikciu ustanovenia článku 35 ods. 1 a ods. 3 GDPR sú vyššie uvedené príklady len určitou konkretizáciou viacerých možných prípadov, ktoré si budú vyžadovať vypracovanie DPIA a nie konečným výpočtom. Preto bude potrebné citlivo zvažovať pri každom plánovanom využití moderných technológií aj prípadný vznik rizík pre práva a slobody dotknutých osôb, ktoré môže spôsobiť zamýšľané spracúvanie osobných údajov spojené s využitím technológie. V konečnom dôsledku sa budú musieť slovenské firmy orientovať hlavne podľa zoznamu, ktorý postupom času zverejní náš Úrad na ochranu osobných údajov. Tento zoznam však určite bude viac menej vychádzať z vyššie uvedeného rámca spracovateľských operácií, ktorého mustru poskytlo už usmernenie WP 29 k DPIA z apríla 2017[4].

    Veľmi dôležitými momentom je tiež uvedomiť si to, kedy vzniká povinnosť vykonať DPIA. Podľa článku 35 ods. 1 GDPR vzniká povinnosť vykonať DPIA ešte pred začatím spracúvania osobných údajov s vysoko rizikovými prvkami pre práva a slobody dotknutých osôb. Pochopiteľne už teraz sa vykonáva mnoho spracovateľských operácií, ktoré podliehajú povinnosti vykonať DPIA, takže od 25. mája 2018 by im mala teoreticky vzniknúť povinnosť vykonať DPIA. Z hľadiska soft law je silno odporúčané vykonať DPIA k takýmto existujúcim spracovateľským operáciám ešte pred májom 2018, ale faktom je, že v praxi by malo byť dostatočné začať vykonávať DPIA až po 25. máji 2018 vo vzťahu ku všetkým novým spracovateľským operáciám, i.e. takým, ktoré sa začnú prvýkrát vykonávať až po 25. máji 2018.

    Vzhľadom na to, že povinnosť vypracovať DPIA sa vzťahuje na nové ešte nezačaté spracovateľské operácie ešte pred začatím ich praktického vykonávania, tak aplikácia povinnosti vykonať DPIA na existujúce spracovateľské operácie by mohla byť podľa nášho názoru interpretovaná ako porušenie princípu zákazu retroaktivity a právnej istoty, ktoré sú ústavne garantované. Možno aj preto WP 29 vo vzťahu k existujúcim spracovateľským operáciám zvolila iba silno odporúčací odkaz na vykonanie DPIA pred 25. májom 2018 a neskonštatovala priamo, že v rámci aktuálne plynúceho dvojročného obdobia je potrebné zosúladiť existujúce spracúvanie osobných údajov s povinnosťou vykonať DPIA.

    V každom prípade s ohľadom na obsah ustanovenia článku 35 ods. 11 GDPR je rozumné i vo vzťahu k existujúcim spracovateľským operáciám začatým pred 25. májom 2018 vykonať DPIA, ak je možné predpokladať zmenu rizík pre práva a slobody dotknutých osôb (napr. rozšírenie spracúvania o nové dáta, účely, technológie, biznis modely apod.), ktorých účinnosť sa prejaví po 25. máji 2018.

    Samozrejme toto je len jeden uhol pohľadu a našim klientom by sme z dôvodu právnej opatrnosti a prevencie pred prípadnými „poťahovačkami“ s úradom v prípade potreby určite radšej pripravili DPIA aj vo vzťahu k existujúcemu spracúvaniu osobných údajov s účinnosťou k 25. máju 2018.

    Ako sa to robí?

    Ako sme spomínali je to hlavne západoeurópsky prístup, takže viaceré dozorné orgány (napr. dozorné orgány z nemeckých spolkových krajín, ICO zo Spojeného kráľovstva, francúzsky CNIL, španielska AGPFD) vytvorili vlastné usmernenia na vykonávanie DPIA, ktoré sú však na účely GDPR zbytočne prehnane komplikované. GDPR je v tomto našťastie úplne minimalistické a záväzne predpisuje iba základné obsahové náležitosti DPIA, keď v článku 35 ods. 7 GDPR vyžaduje, aby DPIA obsahovali aspoň:

    • Systematický opis plánovaných spracovateľských operácii a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;
    • Posúdenie nutnosti a primeranosti spracovateľských operácii vo vzťahu k účelu;
    • Posúdenie rizika pre práva a slobody dotknutých osôb, ktoré vyplýva zo samotnej podstaty zamýšľaného spracúvania osobných údajov;
    • Opatrenia na riešenie rizík vrátane (právnych) záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením;
    • Zohľadnenie práv a oprávnených záujmov dotknutých osôb a ďalších osôb, ktorých sa zamýšľané spracúvanie týka.

    Pre lepšie uchopenie vyššie uvedených obsahových náležitostí je vhodné využiť určitý checklist, ktorý vychádza striktne z GDPR a ktorý zverejnila WP 29 v prílohe svojho usmernenia k DPIA. Ak povinný subjekt vyhovie týmto požiadavkám na DPIA mal by to určite „ustáť“ pred akýmkoľvek dozorným orgánom v EÚ, a to bez ohľadu na požiadavky z ich predchádzajúcich metodík vydaných pred účinnosťou GDPR.

    Samozrejme, tieto veci je možné pri rešpektovaní minimálnych obsahových náležitostí DPIA stanovených v GDPR prispôsobiť potrebám konkrétnych organizácií, rozviť ich bližšie podľa najlepšej praxe zo zahraničia a tiež ich spojiť s komplexnou bezpečnostnou dokumentáciou a ďalšími mechanizmami slúžiacimi na preukazovanie súladu s GDPR. Takto to robíme pre klientov my v STEINGER law firm.

    Určitým problematickým bodom, ktorý zároveň z hľadiska plnenia administratívnych povinností v ochrane osobných údajov predstavuje na Slovensku úplné nóvum je povinnosť získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie osobných údajov (článok 35 ods. 9 GDPR). Aj kvôli tejto povinnosti je podľa nášho názoru vhodné v prostredí malých a stredných firiem osloviť skôr advokáta alebo kvalitnú poradenskú firmu, ako si kupovať licenciu na softvérové riešenie, ktoré za Vás zámer monitorovať browsing zamestnancov počas pracovnej doby neprerokuje s odborármi, či nevyvinie iné preukázateľné úkony s cieľom získať podklady k príprave DPIA. Vznik tejto povinnosti síce nie je absolútny a dá sa v prípade potreby využiť rôzna argumentácia, že takáto povinnosť prevádzkovateľovi nevznikla, ale s ohľadom na filozofiu vrytú do prístupu „Privacy by design“ je krajšie inkorporovať do DPIA aj názory budúcich dotknutých osôb.

    DPIA totiž dnes nemusí byť vykonávané len konzervatívnym postupom spojeným s formálnym zisťovaním informácií, ich vyhodnocovaním a dokumentáciou. DPIA dnes môžu zabezpečovať aj plne automatizované softvérové aplikácie, ktoré na základe vložených hodnôt generujú výstupy. Na Slovensku sú tieto nástroje v podstate ešte neobjavené a pracuje s nimi úplné minimum ľudí, vrátane profesionálov.

    S ohľadom na prax nášho dozorného orgánu, ktorý tiež ešte tieto nástroje neobjavil, ako aj na realitu malých a stredných slovenských podnikov je vhodnejšie zvoliť konzervatívnejší prístup založený na osobných konzultáciách a právnych službách advokáta, príp. iného rovnako kvalifikovaného právneho profesionála. DPIA je právna a nie technická robota, ako sa niektorí tiež „experti“ mylne domnievajú. Zakúpenie licencie na softvérové riešenie DPIA totiž ešte neznamená, že sa rozhodnete pre jedno z tých lepších, ktoré sú na trhu a zároveň ho budete aj schopný samostatne a správne využívať. V praxi slovenských podnikov tak môže byť určite jednoduchšie oslovenie vhodného advokáta, ktorý v jednoduchších prípadoch ani nemusí byť drahší ako licencia na softvér schopný vykonávať automatizované DPIA.

    Čo riskujem, keď nebudem postupovať korektne?

    V prvom rade sa riskuje uloženie pokuty až do výšky 10 miliónov EUR alebo 2% ročného celosvetového obratu za predchádzajúci účtovný rok za nevykonanie DPIA v stanovených prípadoch. Rovnako po skúsenostiach s „pro forma“ bezpečnostnými projektmi, ktoré deklarovali splnenie tohto právneho úkonu iba vo svojom názve možno tiež predpokladať, že nedokonalé a nedostatočne individualizované drafty DPIA tiež neobstoja pred kontrolnými orgánmi úradu a nebudú v praxi dostatočné na preukázanie splnenia predmetnej povinnosti. Preto je namieste nekupovať „mačku vo vreci“ od rôznych poskytovateľov bez dostatočnej odbornej legitimity a neorientovať sa výlučne podľa najnižšej ceny za DPIA.

    Ďalším rizikom, ktoré DPIA prinášajú je tiež ignorovanie vysokého reziduálneho (zostatkového rizika), ktoré po vypracovaní DPIA zostane z akýchkoľvek dôvodov nepokryté vhodnými bezpečnostnými a organizačnými opatreniami určenými na jeho zmiernenie (napr. kvôli finančným nákladom, ťažko realizovateľnej uskutočniteľnosti apod.) a jeho nekonzultovanie s úradom v súlade s postupmi upravenými v článku 36 ods. 1 a ods. 3 GDPR (i.e. porušenie povinnosti tzv. predchádzajúcej konzultácie). Za naplnenie pojmových znakov tohto správneho deliktu hrozí tiež rovnaká sankcia ako v prípade porušenia povinnosti vykonať DPIA.

    Pochopiteľne, zďaleka nie každá pokuta a už vôbec nie na Slovensku, bude dosahovať výšku horných miliónových sadzieb. Pokuty podľa GDPR majú byť totiž vždy primerané a odrádzajúce, no nie likvidačné, resp. také, že potrestaný subjekt ich nebude nikdy schopný zaplatiť. Vzhľadom na relatívnu jednoduchosť kontrolovania splnenia alebo nesplnenia predmetných povinností je možné očakávať, že DPIA budú kontrolované systematicky a cieľavedome práve v sektoroch, ktorých sa bude táto povinnosť najviac týkať (napr. verejný sektor, elektronické komunikácie, cloudové služby, nebankové registre klientskych informácií apod.), a to v rámci kontrolných plánov[5] nášho úradu s možnosťou začatia ich výkonu už od druhej polovice roku 2018.

    Závery

    DPIA je najnáročnejšou povinnosťou na správnu právnu dokumentáciu, ktorú zavádza GDPR. Posúdenie vzniku tejto povinnosti, či potrebu aktualizácie už existujúcej DPIA dokumentácie bude potrebné kontinuálne sledovať a zabezpečovať vo vzťahu ku všetkým novo začatým spracovateľským operáciám, ktoré sa plánujú spustiť po 25. máji 2018, a to ešte vo fáze ich prípravy (napr. vývoj novej smart aplikácie, nové funkcie big data analýz v retailových vernostných programoch, rozširovanie a/alebo centralizácia väčších kamerových systémov, spustenie novej SaaS služby apod.).

    Pozitívom je, že DPIA sú z hľadiska tzv. risk based approach zapracovaného do GDPR viac adresné ako boli bezpečnostné projekty, takže v praxi by sa nemala povinnosť vykonať DPIA týkať takého obrovského množstva subjektov ako tomu je pri bezpečnostných projektoch, kde stačí na vznik tejto už takmer mŕtvej povinnosti napríklad iba púhe prihlasovanie/odhlasovanie zamestnancov do registrov Sociálnej poisťovne (i.e. zaťažuje každého zamestnávateľa).

    Správne zvládnutie povinností spojených s vykonávaním DPIA a nadväzných procesov si bude vyžadovať zapojenie kvalifikovanej zodpovednej osoby alebo vhodne profilovaného advokáta, rovnako ako súčinnosť zo strany firmy zaťaženej povinnosťou vykonať DPIA. Dostupné automatizované softvérové riešenia pre spracovanie DPIA sú skôr vhodným nástrojom pre erudované zodpovedné osoby vo väčších korporáciách a nie pre bežné slovenské firmy, ktoré môžu byť v praxi konfrontované so vznikom povinnosti vykonať DPIA.

    JUDr. Ondrej Zimen

    Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.

    Poznámky pod čiarou:

    [1] Autorská poznámka: Bezpečnostný projekt je pomerne zložitý technicko-právny dokument, ktorého hlavným cieľom je dokumentovať nielen prijaté bezpečnostné opatrenia, ale aj analyzovať bezpečnosť organizácie z hľadiska existujúcich hrozieb a zraniteľností, ktoré vytvárajú riziká pre bezpečnosť spracúvania osobných údajov a následne vytvárať špecifické pravidlá na elimináciu a zmierňovanie týchto rizík. Pri spracovaní (kvalitných) bezpečnostných projektov sa často využívajú metodiky ustanovené v ISO normách upravujúcich informačnú bezpečnosť a analýzu rizík a prihliada sa aj na obsahové náležitosti ustanovené vyhláškou č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení.

    [2] Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 adopted on 4 April 2017.

    [3] Profilovaním sa rozumie akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania znakov alebo charakteristík dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.

    [4] Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 adopted on 4 April 2017.

    [5] Autorská poznámka: návrh národného zákona o ochrane osobných údajov obsahuje ako dôvod na začatie kontroly aj kontrolný plán.

    • Súvisiace právne predpisy