Više puta smo pisali o tematici DPIA postupka, odnosno, postupku provođenja Procjene učinka na zaštitu podataka (DPIA, Data Protection Impact Assessment).
Možete i sami proći naše objave na tu temu na pretraživoj web stranici https://www.biconsult.hr/gdprcroatia
DPIA je vrlo opsežan i zahtjevan postupak koji za rezultat mora donijeti sustav opis obrade podataka, procjenu nužnosti obrade i njenu proporcionalnost s obzirom na svrhu, dubinsku analizu procjene rizika i mjera za umanjivanje rizika i dokazivanje sukladnosti s GDPR-om.
Mi smo prilikom rada na projektima imali prilike provoditi i DPIA i, unatoč kompleksnosti i dugotrajnosti postupka, smatramo DPIA postupak jednom od najpozitivnijih promjena koje je GDPR unio u popis obveza za određene vrste obrada osobnih podataka.
AZOP je donio i Odluku kojom određuje za koje vrste obrada osobnih podataka se mora provesti DPIA, popis je ovdje :
https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli
Na posljednjem mjestu, pod rednim brojem 13. nalazi se i Obrada osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje (npr. kao što je obrada osobnih podatka za praćenje rada, kretanja, komunikacije i sl.).
Moramo priznati da u RH nismo naišli na slučaj da je neki poslovni subjekt koji koristi usluge GPS praćenja službenih vozila proveo DPIA, a isti je obvezan to učiniti.
A kakve posljedice mogu biti u slučaju neprovođenja DPIA?
O tome više govori slučaj iz Finske u kojem je poslovni subjekt kažnjen s 16.000 EUR zbog neprovođenja DPIA za GPS sustav nadzora kretanja vlastitih službenih vozila.
Više o slučaju iz Finske i kazni:
https://blogs.dlapiper.com/privacymatters/finland-data-protection-authority-sends-gdpr-anniversary-greetings-issuing-its-first-fines/