Kdaj moramo opraviti oceno učinka v zvezi z varstvom podatkov?

Odgovor

Ocena učinka v zvezi z varstvom podatkov se zahteva, ko je verjetno, da bi obdelava lahko povzročila veliko tveganje za pravice in svoboščine posameznikov. Zahteva se najmanj v naslednjih treh primerih:

• pri sistematičnem in obsežnem vrednotenju osebnih vidikov v zvezi s posamezniki, vključno z oblikovanjem profila;
• pri obsežni obdelavi občutljivih podatkov;
• pri obsežnem sistematičnem nadzoru javnih območij.

Nacionalni organi za varstvo podatkov lahko skupaj z Evropskim odborom za varstvo podatkov zagotovijo sezname primerov, v katerih je treba opraviti oceno učinka v zvezi z varstvom podatkov. Oceno učinka je treba opraviti pred obdelavo, velja pa za uporabno orodje, namenjeno nenehni uporabi, in ne zgolj za enkratno dejanje. V primeru preostalih tveganj, ki jih ni mogoče ublažiti z obstoječimi ukrepi, se je treba pred začetkom obdelave posvetovati z organom za varstvo podatkov.

Primera

Ocena učinka v zvezi z varstvom podatkov se zahteva
Banka preverja podatke o svojih komitentih v zbirki bonitetnih podatkov; bolnišnica namerava uvesti novo zbirko podatkov, ki bo vključevala informacije o zdravstvenem stanju pacientov; avtobusni prevoznik namerava uvesti kamere v avtobusih za nadzor vedenja voznikov in potnikov.

Ocena učinka v zvezi z varstvom podatkov se ne zahteva
Osebni/Domači zdravnik obdeluje osebne podatke svojih pacientov. V tem primeru ocena učinka v zvezi z varstvom podatkov ni potrebna, saj obdelava podatkov, ki jo izvajajo osebni zdravniki, ni obsežna, če je število pacientov omejeno.

Reference

• Smernice Evropskega odbora za varstvo podatkov o oceni varstva podatkov (DPIA)
• Členi 35, 36; uvodne izjave 89, 90, 91, 92, 93, 94, 95, 96 Splošne uredbe o varstvu podatkov

Examples

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.