Pojam „zaštita podataka“ i „sigurnost podataka“ iako naizgled slični podrazumijevaju sasvim različite pojmove. Iako su takvi pojmovi međusobno povezani trebalo bi ih jasno razlikovati i ne bi ih trebalo miješati.
Opća uredba o zaštiti podataka poglavito je orijentirana na „zaštitu podataka“ dok u manjoj mjeri posvećuje se regulaciji u području „sigurnosti obrade podatka“. Takve odredbe pronaći ćemo u članku 25. gdje se uređuje tehnička i integralna zaštita, u članku 32. koji propisuje sigurnost obrade te određene upute u Uvodnim izjavama 78. i 83. Opće uredbe.
Navedenom odredbama poglavito se uređuje da se provode odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi Uredbe i zaštitila prava osoba čiji podaci se obrađuju (ispitanika). Kako bi se očuvala sigurnost i spriječila obrada kojom se krši Uredba, trebalo bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje. S time u vezi uvodi se uvodi se koncept procjene učinka na zaštitu podataka.
PROCJENA UČINKA NA ZAŠTITU PODATAKA
Procjena učinka na zaštitu podataka je postupak osmišljen za opisivanje obrade, procjenu njezine nužnosti i proporcionalnosti te pružanje pomoći u upravljanju rizicima za prava i slobode pojedinaca koji nastaju obradom osobnih podataka, njihovom procjenom i određivanjem mjera za njihovo uklanjanje. Provođenje procjene učinka na zaštitu podataka važno je za odgovornost jer pomaže voditeljima obrade da se usklade sa zahtjevima Opće uredbe o zaštiti podataka i da dokažu da su poduzete potrebne mjere za osiguravanje usklađenosti s Uredbom. Drugim riječima, procjena učinka na zaštitu podataka postupak je za uspostavu i dokazivanje usklađenosti.
Što to konkretno znači?
To znači da će u svakoj situaciji kada postoji visoki rizik za prava i slobode osobe čiji se podaci obrađuju, voditelj obrade provesti procjenu učinka na zaštitu podataka kako bi utvrdio visinu tog rizika i način smanjenja takvog rizika.
Ako voditelj obrade ne može pronaći odgovarajuće mjere za smanjenje rizika na prihvatljivu razinu (tj. ako su preostali rizici i dalje visoki), tada se mora savjetovati s nadzornim tijelom.
PRIMJER
Smatra se da će opsežna obrada zdravstvenih podataka rezultirati visokim stupnjem rizika i da je potrebna procjena učinka na zaštitu podataka.
Voditelj obrade u tom slučaju dužan je procijeniti sve rizike za prava i slobode ispitanika i utvrditi predviđene mjere za smanjenje tih rizika na prihvatljivu razinu (naglasak na „prihvatljivu“).
Kao primjer smanjenja rizika moglo bi se navesti pohranjivanje osobnih podataka u prijenosno računalo uz upotrebu prikladnih tehničkih i organizacijskih sigurnosnih mjera (učinkovito šifriranje cijelog diska, sigurno upravljanje ključem, prikladni nadzor pristupa, zaštićene sigurnosne kopije itd.) uz postojeće politike (obavijest, pravo pristupa, pravo na prigovor itd.).
Ako voditelj obrade podataka smatra da je rizik dovoljno umanjen te u skladu s tekstom članka 36. stavka 1. i uvodnih izjava 84. i 94., obrada se može nastaviti bez savjetovanja s nadzornim tijelom.
Samo u slučajevima u kojima utvrđene rizike voditelj obrade podataka ne može ukloniti na odgovarajući način, tj. preostali rizici su i dalje visoki, voditelj obrade podataka mora potražiti savjet nadzornog tijela, ističe Radna skupina za zaštitu podataka iz članka 29. u svojim smjernicama.
Primjer neprihvatljivog rizika
Primjer neprihvatljivog visokog preostalog rizika uključuje slučajeve u kojima se osobe čiji se podaci obrađuju (ispitanici) mogu suočiti sa znatnim ili čak nepopravljivim posljedicama, koje možda neće moći ukloniti npr.: neovlašteni pristup podacima kojim se može ugroziti život ispitanika, otpuštanje na radnom mjestu, financijski rizik i/ili ako je očito da će doći do pojave rizika npr.: ako se ne može smanjiti broj osoba koje pristupaju podacima zbog razmjene podataka, njihove upotrebe ili načina distribucije ili ako dobro poznata slabost nije uklonjena.
Ako voditelj obrade podataka ne može pronaći odgovarajuće mjere za smanjenje takvih rizika na prihvatljivu razinu tj. ako su preostali rizici i dalje visoki, u tom slučaju mora se savjetovati s nadzornim tijelom.
Osim toga, voditelj obrade morat će se savjetovati s nadzornim tijelom kad god se nacionalnim pravom propisuje da se voditelji obrade savjetuju s nadzornim tijelom i/ili da od njega moraju dobiti prethodno odobrenje u pogledu obrade koju obavlja za izvršenje zadaće koju voditelj obrade provodi u javnom interesu, uključujući obradu u vezi sa socijalnom zaštitom i javnim zdravljem (napomena: app #Andrija nije „izvršavanje zadaća“ tijela javne vlasti).
Ines Bolkovac, dpo
