Prije nekoliko dana objavili smo članak na temu Odluke AZOP-a o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka koja taksativno utvrđuje da je postupak obrade osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje (npr. kao što je obrada osobnih podatka za praćenje rada, kretanja, komunikacije i sl.) jedan od onih za koje postoji obveza provođenja procjene učinka na zaštitu podataka (Data Protection Impact Assessment, DPIA).

Odluka AZOP-a nalazi se na ovoj stranici:

https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli

DPIA ili Procjena učinka na zaštitu podataka određena je člancima 35. i 36. GDPR-a, nije primjenjiva na svaku obradu, ali pod određenim kriterijima obvezujuća je za pojedine voditelje obrada.

Postupak provođenja DPIA nije jednostavan i ne može se raditi "šprancama" niti ga u takvom obliku "kupiti". On predstavlja dubinsku analizu tehničkih, organizacijskih i sigurnosnih i aspekata obrade podataka, analizu rizika i dokazivanje da su rizici dovedeni na prihvatljive razine, a u slučaju izostanka mogućnosti kontrole rizika mora se o tome obavijestiti AZOP.

Nimalo jednostavna zadaća. i vrlo zahtjevna.

Prema našim iskustvima, provođenje DPIA uzima vremena i angažmana kao ostatak cijelog projekta usklađivanja organizacije s GDPR obvezama.

Istovremeno, središnje EU tijelo za zaštitu podataka objavilo je Smjernice o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade „vjerojatno prouzročiti visok rizik” u smislu Uredbe 2016/679, koje možete pronaći ovdje:

https://azop.hr/images/dokumenti/217/wp248_rev.01_hr.pdf

U navedenim Smjernicama navodi se točno 9 kriterija koji određuju vjerojatnost da će pojedina vrsta obrade podataka vjerojatno prouzročiti visok rizik za pojedince, i u točki 3. egzaktno navode da je jedna od takvih kriterija i:

Sustavno  praćenje: obrada koja se koristi za promatranje, praćenje ili kontrolu ispitanika, uključujući podatke prikupljene  putem mreža ili „sustavnog  praćenja javno dostupnog područja” (članak 35. stavak 3. točka (c))15. Ova je vrsta praćenja jedan od kriterija jer se osobni podaci mogu  prikupljati u situacijama u kojima ispitanici nisu svjesni tko  prikuplja njihove podatke i u koje će svrhe ti podaci biti upotrijebljeni. Usto, pojedinci možda neće moći izbjeći takvu obradu na javnim (ili javno dostupnim) mjestima.

I da stvar bude egzaktnija, European Data Protection Board EDPB u dokumentu novih Smjernica na temu obrada podataka u kontekstu povezanih vozila i aplikacija povezanih s mobilnošću, koje možete vidjeti na ovom linku:

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_en

jasno utvrđuje u točki 2.4.3. obvezu provođenja DPIA za slučajeve kada se obrada podataka vrši izvan samog vozila., što je konkretan slučaj za GPS praćenje vozila tvrtki.

I sad dolazimo do najboljeg dijela...

Koliko puta smo se sreli u organizacijama da prate svoja službena vozila GPS sustavom, od transportnih vozila, vozila na terenu pa do dediciranih vozila pojedinih zaposlenika.

Nikada, ali baš ni u jednom slučaju nismo vidjeli da je tvrtka provela DPIA za takvu obradu osobnih podataka zaposlenika.

Nevjerovatna je situacija da organizacije ne provode DPIA postupak za GPS praćenje vozila, ako postoji takva obveza.

Stoga smo ipak, unatoč jasnoj slici, zatražili AZOP za dodatno tumačenje postojanja takve obveze. Očekujemo potvrdu....