В продължение на серията публикации относно промените, въведени от GDPR, в настоящата публикация ще ви запознаем с едно от новите понятия в GDPR, а именно Оценка на въздействието за защита на данните (ОВЗД).
Какво представлява ОВЗД?
Администраторите на лични данни са отговорни за въвеждането на подходящи мерки за гаранция за спазването на GDPR, вземайки предвид „рисковете с различна вероятност и тежест за правата и свободите на физическите лица“. В този смисъл ролята им не се ограничава единствено с контрола и определянето на целите и средствата по обработването на лични данни, но съдържа и задължението им по управлението на рисковете, които биха могли да настъпят в резултат на тази дейност.
Oсновната цел на ОВЗД e да придаде яснота, да опише всички процеси по обработване, да оцени тяхната необходимост и пропорционалност и да спомогне за адекватното и целесъобразното управление на рисковете за правата и свободите на физическите лица, произтичащи от обработването на личните им данни.
В какво се изразява и какво съдържа ОРЗД?
В чл. 35, пар. 7 GDPR са определени задължителните характеристики на ОВЗД, а именно:
- системен опис на предвидените операции по обработване и целите на обработването;
- оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
- оценка на рисковете за правата и свободите на субектите на данни;
- мерки, предвидени за справяне с рисковете и демонстриране на съответствието с Регламента.
Оценката на рисковете за правата и свободите на субектите на данни е един от основните компонентни при ОВЗД, a част от предложените в GDPR принципи и насоки за оценка на риска се припокриват със съществуващите в тази връзка международни стандарти за управление на риска, в това число ISO 31000:2009. Примери в това отношение са:
• установяване на контекста: „като се вземат предвид естеството, обхватът, контекстът и целите на обработването и източниците на риска“;
• оценка на рисковете: „за да се оценят конкретната вероятност и тежестта на високия риск“;
• третиране на рисковете: „ограничаване на този риск“ и „с които се осигурява защитата на личните данни“ и „се доказва съответствието с настоящия регламент“.
Кога следва да се извърши ОВЗД?
Важно е да се отбележи, че не е необходимо за всяка операция по обработване да се извършва ОВЗД, а само тази, която „има вероятност да доведе до висок риск за правата и свободите на физическите лица“. В този смисъл за най-високорисково се счита обработването на данните, които са от изключително лично естество чрез технически средства без човешка намеса (напр. алгоритми/софтуер), в това число:
- Систематична и подробна оценка на личните аспекти, отнасящи се до здравето, представянето на работното място, личните предпочитания, местонахождението, икономическото положение по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, с цел създаване или използване на лични профили;
- Мащабно обработване на специални категории данни (напр. данни за расов или етнически произход, политически възгледи, сексуален живот и др.) или на лични данни за присъди и нарушения (чл. 9, пар.1 и чл. 10 GDPR);
- Систематично мащабно наблюдение на публично достъпна зона; и др. под.
При всички случаи ОВЗД следва да бъде извършена преди да бъде извършено обработването. (чл. 35, пар. 1 и 10; съображения 90 и 93). Работната група по чл. 29 препоръчва извършването на оценката, дори и когато съществуват съмнения по отношение на необходимостта от такава, тъй като „тя сама по себе си е полезен инструмент, който помага на администраторите да спазват поставените законодателството в областта на защитата на данните“ [1], както и принципа отчетност (за повече информация вижте публикация #8 ОТЧЕТНОСТТА КАТО НОВ ПРИНЦИП НА GDPR).
Кои дейности по обработване на лични данни са високорискови?
В Насоките на работната група по чл. 29, са посочени девет критерия, по които администраторът може да определи операциите, които могат да доведат до висок риск за правата и свободите на физическите лица:
1) Наличие на оценка или точкуване, включително профилиране и предсказване – пример в това отношение са финансовите институции, които извършват справки за своите клиенти във връзка с отпускане на кредити в бази данни за борба срещу изпирането на пари или финансирането на тероризма; генетични тестове, за прогнозиране на рисковете от заболявания; компании, които създават поведенчески или маркетингови профили въз основа на уебсайт; др. под. ;
2) Наличие на автоматизирано вземане на решение с правно или подобен значителен ефект – Автоматизираното вземане на решения представлява способността за вземане на решения с технологични средства без човешка намеса. Пример затова е когато решението относно одобрението на кредит се взема от човек въз основа на профил, изготвен изцяло чрез автоматизирани средства или когато решението относно одобрението на заема се взема чрез алгоритъм и лицето се известява по автоматизиран начин за решението, без преди това да е извършена съдържателна оценка от човек.
3) Наличие на обработване, използвана за различни видове на наблюдение или контрол на субектите на данни – в това число попада наблюдението, чрез което се обработват данни за субекти, които не осъзнават кой събира данните им и как ще бъдат използвани, например видеонаблюдение в публична зона;
4) Наличие на обработване на специални категории данни – обществени болници, които съхраняват медицинските досиета на пациентите задължително следва да извършат ОВЗД, тъй като оперират с чувствителни данни, а именно здравословното състояние на физическите лица;
5) Наличие на обработване на лични данни в голям мащаб – определянето на мащаба е отделен процес, който обхваща внимателното изследване на фактори като: броят на засегнатите субекти на данни, обемът на данните или обхватът на различните видове данни, продължителността или непрекъснатостта, както и географският обхват на дейността по обработване;
6) Съчетаване на набори от данни, които произтичат от две или повече операции по обработване, извършени за различни цели и/или от различни администратори, по начин, който надхвърля разумните очаквания на субекта – В тези случаи трябва да се изследва естеството на договорните отношения и по-конкретно равновесието между субекта и администратора на данни, например до каква степен субектът на данните е свободен да прекрати договора и да потърси алтернативен доставчик на услуги;
7) Наличие на обработване на данни относно уязвимите субекти на данни, включващо и всякакъв тип взаимоотношения, в които има неравнопоставеност между субектите – примери в това отношение са деца – субекти на обработване, психично болни лица, търсещи убежище лица пациенти, възрастни и др. под.;
8) Наличие на иновативно използване на технологични и организационни решения – отличен пример в това отношение е използването на пръстови отпечатъци и разпознаване на лица с цел подобряване контрола на достъп;
9) Възпрепятстване субектите на данни да упражняват право, да използват услуга или договор – тук отново примерът с банка, която извършва справка за клиент в референтна база данни за кредити, т.е. в случая процеса на обработване на личните данни на субекта могат да доведат до лишаването му от възможността да му се предостави кредит.
Общото правило е, че операция по обработване на лични данни, която отговаря на по-малко от два от критериите, описани по-горе, може да не изисква извършването на ОВЗД поради по-ниското ниво на риск. Съответно на колкото повече критерии отговаря обработването, толкова по-вероятно е да бъде високорискова по отношение на правата и свободите на физическите лица.
В допълнение GDPR вменява и задължение на надзорния орган да състави и оповести списък на видовете операции по обработване, за които задължително се изисква ОВЗД. Също така надзорният орган може да състави и оповести списък на видовете операции по обработване, за които не се изисква ОВЗД. Към настоящия момент Комисията за защита на личните данни (КЗЛД) все още не е оповестила тези списъци.
Какво следва след извършване на ОВЗД?
ОВЗД не е еднократно действие, а е цялостен процес на изграждане и демонстриране на съответствие.
Веднъж изготвена Оценката на въздействието за защита на данните обаче, би могла да се използва за оценка на множество операции по обработване, които са сходни по отношение на рисковете, вземайки предвид специфичната природа, обхвата, целите и контекста на конкретния казус. Когато операцията по обработване включва съвместни администратори, то те трябва да определят точно и ясно съответните си задължения. Тяхната ОВЗД трябва задължително да посочва коя страна е отговорна за различните мерки, предназначени да третират рисковете и да защитят правата на субектите на данни.
Ако администраторът смята, че не е нужно да направи Оценка на въздействието за защита на данните, то той трябва да документира подробно причините, поради които не я е извършил.
Извършването на оценката може да бъде възложено и на външно лице.
Ако обработването се извършва изцяло или частично от обработващ личните данни, то той трябва да съдейства на администратора при извършването на ОВЗД и да предостави необходимата информация, като ролите и отговорностите трябва да бъдат внимателно определени в отделен договор/споразумение. Обикновено такива задължения се вменяват на обработващия със споразумението за обработване на лични данни между администратора и обработващя.
Освен това администраторът ще трябва да се консултира и с надзорния орган, когато законодателството на държавата-членка изисква това.
Във връзка с горното остава остава въпросът какво ще предвиди новият Закон за изменение и допълнение на Закона за защита на личните данни в тази насока.
В заключение следва да наблегнем на факта, че изготвянето на ОВЗД е ключова част от спазването на GDPR, когато се планира или се осъществява обработване на данни с висок риск. Това означава, че администраторите на лични данни трябва да са в състояние да определят дали трябва да се извърши такава оценка. Разбира се, вътрешната политика на администратора на данни може да разшири обсега на дейностите по обработване на лични данни, за които ще бъде извършена ОВЗД и отвъд изискванията на GDPR. Такъв подход безусловно би довел до изграждане на по-силно доверие на субектите у администратора и до създаване на допълнителни гаранции за законосъобразно и адекватно обработване на лични данни в компанията.
[1] Работна група за защита на личните данни по член 29: Насоки относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679 (WP 248 rev. 01), достъпни на английски език тук.