Seznam dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov (DPIA)

5 minutes of reading

Št. zadeve:014-1/2018/1

Datum: 24. 5. 2018

Zadeva: Seznam dejanj obdelav osebnih podatkov1, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku člena 35 Uredbe (EU) 2016/679

Informacijski pooblaščenec po informacijski pooblaščenki Mojci Prelesnik izdaja na podlagi 2. alineje prvega odstavka 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, številka 113/2005 in 51/2007 – ZUstS-A, v nadaljevanju ZInfP) in 4. odstavka člena 35 Uredbe (EU) 2016/679, naslednji seznam dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov:

1. OBSEŽNO VREDNOTENJE IN PROFILIRANJE POSAMEZNIKOV
– Obdelave osebnih podatkov v velikem obsegu, ki vključujejo vrednotenje, točkovanje ali razvrščanje posameznikov, vključno s profiliranjem in napovedovanjem, kot na primer:

  • odločanje o ustreznosti komitenta glede pridobitve kredita na podlagi podatkov v centralnem kreditnem registru in drugih podatkov,
  • genetsko testiranje in ugotavljanje verjetnosti za nastanek določene bolezni,
  • beleženje podatkov o vožnjah in ustvarjanje profilov voznikov za popust pri zavarovanju, itd.

2. AVTOMATIZIRANO ODLOČANJE S PRAVNIM ALI PODOBNIM UČINKOM
– Obdelave, ki v procesu sprejemanja odločitev s pravnimi ali podobnimi pomembnimi učinki vključujejo avtomatizirano odločanje, kot na primer avtomatizirano odločanje o:

  • pridobitvi ali zavrnitvi stanovanjskega ali drugega kredita,
  • denarne socialne pomoči,
  • štipendije,
  • usposobljenosti za delo,
  • zdravstvenega zavarovanja, itd.ž

3. SISTEMATIČEN NADZOR NAD POSAMEZNIKOM BREZ NJEGOVEGA ZAVEDANJA
– Sistematično opazovanje, spremljanje ali kakršenkoli nadzor posameznikov, ki se ga posameznik ne zaveda ali se mu ne more izogniti oziroma nanj nima vpliva (npr. ker se izvaja na javno dostopnih območjih). Nadzor lahko vključuje zbiranje podatkov o posameznikovem vedenju, geolokaciji, tako na spletu kot drugod. Primeri, kjer bo izvedba ocene učinkov obvezna, so:

  • sistemi avtomatske prepoznave registrskih tablic,
  • sistemi javnega prevoza in elektronskega cestninjenja,
  • projekti e-uprave,
  • predhodno preverjanje podatkov letalskih potnikov,
  • preverjanje uporabnikov bencinskega servisa s seznamom ubežnikov brez plačila,
  • videonadzor prireditve na javnem prostoru iz brezpilotnika,
  • videonadzor javnih površin,
  • množične ali sistematične obdelave osebnih podatkov, ki jih izvajajo organi pregona v zvezi s kaznivimi dejanji ali prekrški itd.

4. OBDELAVA POSEBNIH VRST OSEBNIH PODATKOV

– Ko obdelava posebnih vrst osebnih podatkov, podatkov o kaznivih dejanjih oziroma prekrških predstavlja velika tveganja za pravice posameznika, kot na primer:

  • vzpostavitev in delovanje kazenskih in prekrškovnih evidenc,
  • prenove in razvoj hospitalnih informacijskih sistemov, rešitev in aplikacij,
  • nove mobilne aplikacije za spremljanje zdravstvenih podatkov posameznika;

– ko obdelava takšnih podatkov poteka za druge namene, kot za tiste, za katere so bili podatki zbrani, kot na primer:

  • javno objavljeni registri oseb na podlagi njihovih posebnih okoliščin ali statusa,
  • izvajanje neposrednega trženja na podlagi posebnih vrst osebnih podatkov (npr. zdravil osebam z določeno boleznijo);

– ko gre za sistematično izmenjavo posebnih vrst podatkov med različnimi upravljavci, kot na primer:

  • povezovanje drugih zbirk osebnih podatkov s kazenskimi in prekrškovnimi evidencami ali zbirkami posebnih vrst osebnih podatkov,
  • vzpostavitev aplikacij in vmesnikov za dostop do kazenskih in prekrškovnih evidenc,
  • sistemi na področju e-zdravja;

– ko gre za obdelavo posebnih vrst osebnih podatkov ali podatkov o kaznivih dejanjih ali prekrških ali drugih podatkov bolj občutljive narave, ki zaradi posebnih okoliščin v zvezi s posamezniki zanje lahko predstavljajo veliko tveganje ali diskriminacijo, kot na primer:

  • obdelava podatkov o varovankah v varnih hišah,
  • seznami oseb, ki zaradi svoje osebne okoliščine predkaznovanosti, spolne usmerjenosti, etnične, verske ali filozofske pripadnosti, v javnosti lahko vzbujajo čustva nestrpnosti ali sovraštva,
  • obsežna obdelava prometnih, lokacijskih in drugih podatkov, ki jih varuje 37. člen Ustave RS (tajnost pisem in drugih občil), kot so podatki o telefonskih klicih, elektronski pošti, itd.

5. MNOŽIČNOST OBDELAVE OSEBNIH PODATKOV
– Množičnost obdelave osebnih podatkov, pri čemer se upošteva število (ali delež) zadevnih posameznikov, obseg podatkov, trajanje ali stalnost obdelave in geografski obseg obdelave, kot na primer:

  • klubi zvestobe pri trgovcih,
  • podatki o uporabi elektronskih komunikacij pri operaterjih,
  • podatki o zavarovancih in škodnih primerih pri zavarovalnicah, o registri na državni ravni,
  • podatki o komitentih in njihovi uporabi bančnih storitev v bankah, hranilnicah in drugih finančnih institucijah.

6. PRIMERJANJE IN KOMBINIRANJE RAZLIČNIH ZBIRK PODATKOV (NPR. PRIDOBLJENIH SKOZI RAZLIČNE AKTIVNOSTI UPRAVLJAVCA) IN ANALITIKA NA OSNOVI MASOVNIH PODATKOV
– Primerjanje in kombiniranje različnih zbirk podatkov (npr. pridobljenih skozi različne aktivnosti upravljavca) in analize na osnovi masovnih podatkov, kot na primer:

  • primerjanje podatkov o zavarovancih in podatkov o škodnih primerih pri zavarovalnici
    z namenom ugotavljanje deležev, trendov, vzročno-posledičnih povezav ipd., o primerjanje podatkov o absentizmu in podatkov o spolu, starosti in izobrazbi zaposlenih,
  • analize nakupovalnih navad in podatkov o gibanju kupcev,
  • analize gibanja, uporabe in navad uporabnikov elektronskih komunikacij pri operaterjih,
  • analize podatkov v enem ali več registrov na državni ravni,
  • primerjanje in analize podatkov o absentizmu in podatkov o spolu, starosti in izobrazbi
    zaposlenih.

7. NESORAZMERJE MOČI
– Obdelava podatkov ranljivih (skupin) posameznikov, kjer obstaja občutno nesorazmerje moči med upravljavcem in posameznikom, kot na primer:

  • obdelava osebnih podatkov zaposlenih, otrok, oseb z v celoti ali delno odvzeto opravilno sposobnostjo, prosilcev za azil, migrantov, starejših, pacientov, itd.

8. INOVATIVNA UPORABA OBSTOJEČIH IN NOVIH TEHNOLOGIJ
– Inovativna uporaba in kombiniranje obstoječih in novih tehnologij, katerih osebne in družbene posledice niso nujno dobro raziskane in poznane, in ki lahko z razvojem vodijo v nove oblike, večji obseg in nove namene uporabe podatkov, kot na primer:

  • biometrijska prepoznava prstnih odtisov, obraza ali drugih biometrijskih značilnosti, o testiranje in analize genetskih vzorcev,
  • sistemi inteligentne video analitike,
  • uporaba brezpilotnikov,
  • določene naprave in senzorji v okviru interneta stvari (npr. »pametni števci«), itd.

9. OMEJITEV DOSTOPA DO STORITVE/POGODBE
– Obdelava, ki omejuje pravice posameznika ali obdelava podatkov, katere cilj je omogočiti, omejiti ali preprečiti posamezniku dostop do storitev ali pogodbe, kot na primer:

  • obdelava podatkov o uporabi avtocestnega omrežja z elektronskim cestninjenjem, o predhodno preverjanje kreditne sposobnosti komitenta, itd.

10. NEPOSREDNO TVEGANJE ZA ZDRAVJE IN VARNOST POSAMEZNIKOV
– Ko obdelava osebnih podatkov neposredno vpliva na varnost ali zdravje posameznikov, kot na primer:

  • uporaba elektronskega vsadka za srčne bolnike, ki sporoča pomanjkljive netočne zdravstvene podatke o pacientu, na podlagi katerih se lahko uravnava terapija, itd.
  • uporaba drugih naprav, ki lahko na podlagi osebnih podatkov, bistveno vplivajo na zdravje posameznika (npr. napake v delovanju dializne naprave),
  • uporaba senzorjev ali naprav, ki omogočajo lociranje ali sledenje ranljivih posameznikov (npr. nedelujoče zapestnice za sledenje dementnih oseb).

Opomba:

  • Seznam dejanj obdelav, za katere velja zahteva po izvedbi ocene učinka, je treba interpretirati v skladu z določbami Uredbe in smernicami nadzornih organov. Več informacij o ocenah učinka in zadevne smernice se nahajajo na spletni strani IP.

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

—————-

1 Podani primeri ne predstavljajo končnega nabora dejanj obdelave, pri katerih je treba izvesti oceno učinka, temveč gre le za nekaj ilustrativnih primerov za boljše razumevanje posameznih kriterijev. Posebne okoliščine lahko terjajo izvedbo ocene učinka četudi ne gre za enega od zgoraj podanih primerov.

Leave a Comment

Scroll to Top
Scroll to Top