Ne pozabite na presojo učinkov na varstvo osebnih podatkov (DPIA) pri projektih digitaizacije

Ne pozabite na presojo učinkov na varstvo osebnih podatkov (DPIA) pri projektih digitaizacije

S stalno rastjo digitalizacije in vedno več projekti interneta stvari (IoT) se v praksi srečujemo z vedno večjimi izzivi glede zagotavljanja ustreznega varstva osebnih podatkov in spoštovanja zahtev zakonodaje.

Izzivi so toliko večji ravno zato, ker večina akterjev ni seznanjena z osnovnimi pravili in načeli varstva osebnih podatkov, ki jih narekujeta Splošna uredba o varstvu osebnih podatkov (GDPR) in Zakon o varstvu osebnih podatkov (ZVOP-1). To vas lahko drago stane, zato berite naprej!

Ključno načelo GDPR je “privacy by design and by default“, zato je za uspešno in pravilno izvedbo projekta digitalizacije nujno že na začetku pripraviti takoimenovano Presojo učinkov na varstvo osebnih podatkov (Data protection impact assesment oz. DPIA).  DPIA nam v praksi pomaga preprečiti napake, ki bi nas kasneje lahko drago stale, zato je treba čimprej zapolniti nastalo vrzel in opolnomočiti tako IT stroko kot ostale akterje.

 

Prav v zvezi z DPIA in učinki digitalizacije na varstvo osebnih podatkov podjetje Dataofficer pripravlja posebno usposabljanje za vodje projektov digitalizacije, informatike in razvijalcenovih programskih rešitev. Usposabljanje bosta vodila mag. Andrej Tomšič, namestnik Informacijske pooblaščenke,  in mag. Renata Zatler iz podjetja Dataofficer. Več o usposabljanju, ki se prične 5. aprila, si preberite tukaj.

 

Aktualno za občine in informatike

Ministrstvo za javno upravo je pred kratkim objavilo Javni razpis za demonstracijske projekte vzpostavljanja pametnih mest in skupnosti »JR PMIS« – in v razpisni dokumentaciji opozorilo na obveznost izdelave Presoje učinkov na zasebnost (DPIA) v skladu s 35. členom Splošne uredbe o varstvu osebnih podatkov (GDPR), če tehnološka rešitev vključuje obdelavo osebnih podatkov.  Da je potrebno v projektih tipa “Smart city” izdelati DPIA, je zapisano tudi v mnenju Informacijskega pooblaščenca iz leta 2018.

Namen javnega razpisa MJU in s tem sofinanciranja projektov je pospešitev uvajanja inovativnih rešitev na področju digitalizacije občin. To naj bi dosegli z uvedbo in uporabo naprednih digitalnih tehnologij. Pri večini tehnoloških rešitev je predvidena tudi obdelava osebnih podatkov občanov, posledično pa je izdelava DPIA pri tovrstnih projektih obvezna.

 

Kaj je DPIA?

DPIA je uvedena s Splošno uredbo o varstvu osebnih podatkov, ki je pričela veljati 25. maja 2018. Zahteva se uvršča v preventivne ukrepe v okviru novega temeljnega načela, načela odgovornosti, ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev (npr. občine) in obdelovalcev podatkov (npr. razvijalca IT rešitve). Za lažje razumevanje določb glede obveznosti izdelavi DPIA so pomembne Smernice IP, v katerih je zapisano, da se DPIA izdela,  ko gre za projekte digitalizacije in uvajanje novih tehnologij, pri katerih prihaja do obdelave osebnih podatkov – kot so obdelave s pomočjo umetne inteligence, inteligentne videoanalitike, e-uprava ali podobni portali na občinski ravni, obdelava geolokacijskih podatkov in podobno.

Z določene vrste novih digitalnih rešitev  je DPIA obvezna. V primeru, da ne bo narejena, bo to pomenilo kršitev določil GDPR, za kar bo lahko izrečena globa. Vendar tudi v primerih, ko DPIA ni obvezna, je priporočljivo, da se izdela. To orodje nam namreč pomaga preprečiti napake in izpolniti vse zahteve zakonodaje o varstvu osebnih podatkov.

 

Kaj vsebuje DPIA?

DPIA vsebuje sistematičen opis dejanj in namenov obdelave, kadar je ustrezno, pa tudi zakonitih interesov, za katere si upravljavci prizadevajo; oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen; oceno tveganj za posameznike, na katere se nanašajo osebni podatki; ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov.

Za izdelavo končne DPIA je odgovoren vodja projekta (naročnik oziroma upravljavec osebnih podatkov – npr. občina), pri pripravi pa ima ključno vlogo tudi zunanji izvajalec (razvijalec in obdelovalec osebnih podatkov).

 

Kakšna je vloga razvijalcev (informatikov)?

Poznavanje določil GDPR in zahtev DPIA je ključno že v fazi razvoja, zato je pomembno, da vodja projektov zahteva od razvijalcev tehnoloških rešitev, da se v zgodnji fazi vključijo v izdelavo DPIA. Gre za dokument, ki dejansko »živi« in se »razvija« od začetka (načrtovanje) do konca (implementacija), zato je nujno, da so tudi informatiki ustrezno usposobljeni in pripravljeni za pripravo prvih osnutkov tega dokumenta.

 

Za pravilno izvedbo DPIA se obrnite izkušene svetovalce s področja varstva osebnih podatkov podjetja Dataofficer. Pokličite nas  386 41 314 400 ali nam pišite na info@dataofficer.si. Predvsem pa vam priporočamo, da se udeležite posebej prirejenega usposabljanja v zvezi z DPIA, ki se prične 5. aprila, več informacij dobite tukaj.

 



Na naši stran uporabljamo piškotke za pravilno delovanje strani in beleženje obiskanosti strani. S strinjanjem nam dovolite uporabo piškotkov.

Privacy Settings saved!
Nastavitve zasebnosti

Ko obiščete katero koli spletno mesto, le to lahko shranjuje ali pridobi podatke v vašem brskalniku, večinoma v obliki piškotkov. Tukaj nadzirate svoje osebne nastavitve za piškotke.

Ti piškotki so potrebni za delovanje spletnega mesta in jih ni moč onemogočiti.

Za pravilno delovanje spletne strani uporabljamo naslednje tehnične piškotke
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Onemogoči vse storitve
Omogoči vse storitve