Kada je obavezno sprovesti procenu uticaja na zaštitu podataka o ličnosti?

Članom 54. stav 1 Zakona o zaštiti podataka o ličnosti propisano je da „ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti”.

Ono što je ključno, a proizlazi iz gorenavedene odredbe, jeste da, u slučaju postojanja potrebe za sprovođenjem procene uticaja, ista mora biti sprovedena pre započinjanja obrade ličnih podataka, koja zahteva sprovođenje procene uticaja.

Procena uticaja na zaštitu podataka o ličnosti obavezno se vrši u slučaju:

1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica, koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, a na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;

2) obrade posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima u velikom obimu;

3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri;

4) obrade podataka o ličnosti dece i maloletnika u svrhu profilisanja, automatizovanog odlučivanja ili u marketinške svrhe;

5) upotrebe novih tehnologija ili tehnoloških rešenja za obradu podataka o ličnosti ili sa mogućnošću obrade podataka o ličnosti koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, sklonosti ili interesovanja, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih lica;

6) obrade podataka o ličnosti na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sistemske obrade podataka o komunikaciji nastalih upotrebom telefona, interneta ili drugih sredstava komunikacije;

7) obrade biometrijskih podataka u cilju jedinstvene identifikacije zaposlenih od strane poslodavca i u drugim slučajevima obrade podataka o ličnosti zaposlenih od strane poslodavca upotrebom aplikacija ili sistema za praćenje njihovog rada, kretanja, komunikacije i sl.;

8) obrade podataka o ličnosti ukrštanjem, povezivanjem ili proverom podudarnosti iz više izvora;

9) obrade posebnih vrsta podataka o ličnosti u svrhu profilisanja ili automatizovanog odlučivanja.

Prethodno navedene situacije jasno stavljaju akcenat na obradu podataka upotrebom novih tehnologija, kao i na automatizovanu obradu i profilisanje kao glavne determinante u određivanju (ne)postojanja obaveznosti sprovođenja procene uticaja. Na drugom mestu nalaze se situacije koje se odnose na obradu određenih vrsta podataka o ličnosti čiji rezultat, ukoliko se vrši na neki od gorenavedenih načina, može biti obavezivanje rukovaoca da sprovede procenu uticaja iako se obrada ne vrši upotrebom novih tehnologija. To se pre svega odnosi na obradu ličnih podataka maloletnih lica, biometrijskih podataka zaposlenih lica i posebnih ličnih podataka (podaci o rasnom ili etničkom poreklu, političkom mišljenju, verskom ili filozofskom uverenju ili članstvu u sindikatu, genetski podaci, biometrijski podaci u cilju jedinstvene identifikacije lica, podaci o zdravstvenom stanju ili podaci o seksualnom životu ili seksualnoj orijentaciji fizičkog lica).

Rukovalac je obavezan da izvrši procenu uticaja na zaštitu podataka o ličnosti i u drugim slučajevima ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica.

U tekstu u okviru časopisa Lege Artis Propisi u praksi, u januarskom broju  bliže su opisani navedeni kriterijumi a  dato je i uputstvo šta procena uticaja na zaštitu podataka o ličnosti treba da sadrži.

Redakcija