u-kojem-trenutku-je-potrebno-provesti-procjenu-učinka-za-zaštitu-podataka

Procjena učinka na zaštitu podataka

Procjenu učinka na zaštitu podataka treba provesti prije obrade osobnih podataka kako bi se poštivala načela tehničke i integrirane zaštite podataka. Međutim ukoliko je postupak obrade dinamičan i podložan stalnim promjenama procjena učinka na zaštitu podataka provodi se kontinuirano, a ne jednom.

Pored slučajeva predviđenih člankom 35. stavkom 3. GDPR sukladno AZOP-ovoj Odluci o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka od 25. svibnja 2018. godine provedba procjene učinka na zaštitu osobnih podataka obvezna je kod obrade osobnih podataka u sljedećim slučajevima:

1. Obrada osobnih podataka radi sustavnog i opsežnog profiliranja ili automatiziranog odlučivanja kako bi se donijeli zaključci koji u značajnijoj mjeri utječu ili mogu utjecati na pojedinca i/ili više osoba ili koji služe kao pomoć u donošenju odluka o nečijem pristupu nekoj usluzi ili servisu ili pogodnosti (npr. kao što je obrada osobnih podataka odnosnih na ekonomski ili financijski status, zdravlje, osobne preferencije, interese, pouzdanost, ponašanje, podatke o lokaciji i dr.);

2. Obrada posebnih kategorija osobnih podataka u svrhu profiliranja ili automatiziranog odlučivanja;

3. Obrada osobnih podataka djece u svrhu profiliranja ili automatiziranog odlučivanja ili za marketinške svrhe, ili za izravnu ponudu  usluga namijenjenu njima;

4. Obrada osobnih podatka prikupljenih od trećih strana koji se uzimaju u obzir za donošenje odluke vezane za sklapanje, raskidanje, odbijanje ili produženje ugovora o pružanju usluga fizičkim osobama

5. Obrada posebnih kategorija osobnih podataka ili osobnih podataka o kaznenoj ili prekršajnoj odgovornosti u velikom opsegu;

6. Obrada osobnih podataka korištenjem sustavnog nadzora javno dostupnih mjesta u velikom opsegu;

7. Uporaba novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa  mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba;

8. Obrada osobnih podataka generiranih pomoću uređaja sa senzorima koji šalju podatke putem interneta ili drugim tehnologijama za prijenos informacija;

9. Obrada biometrijskih ili genetskih podataka;

10. Obrada osobnih podataka povezivanjem, usporedbom ili provjerom podudarnosti iz više izvora;

11. Obrada osobnih podataka na način koji uključuje praćenje lokacije ili ponašanja pojedinca, u slučaju sustavne obrade komunikacijskih podataka (metapodaci) nastalih uporabom telefona, interneta ili drugih komunikacijskih kanala, kao što je  GSM, GPS, Wi Fi,  praćenje ili obrada podataka o lokaciji;

12. Obrada osobnih podataka korištenjem uređaja i tehnologija kod kojih incidentni događaj može ugroziti zdravlje pojedinca ili više osoba;

13. Obrada osobnih podataka u drugu/e svrhu/e od one za koju su prvobitno prikupljeni;

14. Obrada osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje (npr. kao što je obrada osobnih podatka za praćenje rada, kretanja, komunikacije i sl.)

Pročitaj: ODLUKA o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka na ovom linku