Nedavno smo javno objavili stajalište AZOP-a na naš upit o postojanju obveze provođenja DPIA u sklopu usklađivanja s GDPR-om za sve poslovne subjekte koji su uveli ili planiraju uvesti GPS praćenje vozila. Nije šala, i DPIA nije jednostavan postupak.
 
https://www.biconsult.hr/gdprcroatia/742-koristitimo-li-usluge-pracenja-sluzbenih-vozila-gps-sustavom-jesmo-li-proveli-dpia-postupak-2
 
Opravdano se upitati zašto toliko naglašavamo ovu temu koja je prilično strana i nepoznata nizu poslovnih subjekata. Razlog leži u članku 83. stavku 4. GDPR-a, kojim se utvrđuje iznos novčane kazne za neprovođenje DPIA, ne želimo dalje spominjati iznose.
 
Kako provesti ovaj kompleksan postupak?
 
Svakako treba proučiti EU Smjernice WP29 koje je AZOP objavio na svojim web stranicama, posebno obratite pozornost na zadnju stranicu:
 
https://azop.hr/images/dokumenti/217/wp248_rev.01_hr.pdf
 
I slovensko nadzorno tijelo je objavilo vlastite smjernice, vrlo kvalitetne, mogu vam biti od značajne pomoći ako ste doma sa slovenskim jezikom:
 
https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf
 
Pored GPS nadzora vozila, DPIA se mora provesti ako je vjerojatno da će neka obrada prouzročiti visok rizik za prava i slobode pojedinaca.
 
Posebno to vrijedi kod:
 
a) sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca,
 
b) opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima, i
 
c) sustavnog praćenja javno dostupnog područja u velikoj mjeri.
 
AZOP je dodatno definirao konkretan i obvezujuć popis vrsta obrada osobnih podataka za koje se mora provesti DPIA, ovdje je na linku:
https://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli
 
i navodi slijedeće obrade:
 
1) Obrada osobnih podataka radi sustavnog i opsežnog profiliranja ili automatiziranog odlučivanja kako bi se donijeli zaključci koji u značajnoj mjeri utječu ili mogu utjecati na pojedinca i/ili više osoba ili koji služe kao pomoć u donošenju odluka o nečijem pristupu nekoj usluzi ili servisu ili pogodnosti (npr. kao što je obrada osobnih podataka odnosnih na ekonomski ili financijski status, zdravlje, osobne preferencije, interese, pouzdanost, ponašanje, podatke o lokaciji i dr.);
 
2) Obrada posebnih kategorija osobnih podataka u svrhu profiliranja ili automatiziranog odlučivanja;
 
3) Obrada osobnih podataka djece u svrhu profiliranja ili automatiziranog odlučivanja ili za marketinške svrhe, ili za izravnu ponudu usluga namijenjenu njima;
 
4) Obrada osobnih podatka prikupljenih od trećih strana koji se uzimaju u obzir za donošenje odluke vezane za sklapanje, raskidanje, odbijanje ili produženje ugovora o pružanju usluga fizičkim osobama;
 
5) Obrada posebnih kategorija osobnih podataka ili osobnih podataka o kaznenoj ili prekršajnoj odgovornosti u velikom opsegu;
 
6) Obrada osobnih podataka korištenjem sustavnog nadzora javno dostupnih mjesta u velikom opsegu;
 
7) Uporaba novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba;
 
8) Obrada biometrijskih podataka kad je ispunjen bar još jedan kriterij iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01) koji služe za procjenu hoće li određeni postupci obrade vjerojatno prouzročiti visok rizik za prava i slobode ispitanika;
 
9) Obrada genetskih podataka kad je ispunjen bar još jedan kriterij iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01) koji služe za procjenu hoće li određeni postupci obrade vjerojatno prouzročiti visok rizik za prava i slobode ispitanika;
 
10) Obrada osobnih podataka povezivanjem, usporedbom ili provjerom podudarnosti iz više izvora;
 
11) Obrada osobnih podataka na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sustavne obrade komunikacijskih podataka (metapodaci) nastalih uporabom telefona, interneta ili drugih komunikacijskih kanala, kao što je GSM, GPS, Wi Fi, praćenje ili obrada podataka o lokaciji;
 
12) Obrada osobnih podataka korištenjem uređaja i tehnologija kod kojih incidentni događaj može ugroziti zdravlje pojedinca ili više osoba;
 
13) Obrada osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje (npr. kao što je obrada osobnih podatka za praćenje rada, kretanja, komunikacije i sl.).
 
Za kraj mala opaska, ovaj popis nije konačan.