Ocena učinka (DPIA) je orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije.
Kaj so ocene učinkov v zvezi z varstvom osebnih podatkov?
Ocene učinkov v zvezi z varstvom osebnih podatkov (DPIA) predstavljajo orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije. DPIA so se najprej uveljavile kot orodje pri snovalcih zakonodaje, politik in projektov v Kanadi, Avstraliji in ZDA, počasi pa si utirajo pot tudi v evropskem prostoru, kjer so glavni zagon dobile s sprejemom GDPR. DPIA so namreč po določbah
GDPR pod določenimi pogoji obvezne. DPIA temeljijo na sistematični in pravočasni identifikaciji tveganj za nezakonita ravnanja z osebnimi podatki, s katerimi se lahko tveganja ustrezno upravlja - pravočasno identificira, odpravi, zmanjša ali sprejme. Po eni strani so DPIA podobne inšpekcijskemu nadzoru zakonitosti obdelave osebnih podatkov, ki ga izvaja Informacijski pooblaščenec in kjer je poudarek na ex-post ugotavljanju skladnosti z zakonodajo, medtem ko je namen DPIA ex-ante analiza
tveganj ter prilagajanje in optimizacija postopkov za doseganje skladnosti z zakonodajo.
ZAKONSKA UREDITEV DPIA?
Zahteve glede ocen učinkov opredeljuje 35. člen GDPR. V primeru, ko je iz ocene učinka v zvezi z varstvom podatkov razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja, se mora upravljavec pred obdelavo posvetovati z nadzornim organom, kot to zahteva 36. člen GDPR. Pomembna je tudi vloga pooblaščene osebe za varstvo podatkov (Data Protection Officer; DPO) pri izvajanju DPIA (39. člen). Ozadje, pomen in dodatne informacije v zvezi z
DPIA pa podajajo tudi številne uvodne določbe GDPR, zato v tem poglavju najdete zadevne določbe, kot se nahajajo v GDPR.
