Procjene učinka zaštite podataka (DPIA-i)
Kako Microsoft pomaže voditeljima obrade u provedbi procjene učinka zaštite podataka prema GDPR-u.
Najčešća pitanja o procjeni učinka zaštite podataka
U nastavku su važna pitanja i odgovori o onome što zahtijeva GDPR.
Najčešća pitanja
Prema GDPR-u, kao voditelj obrade obavezni ste prije obrade koja bi mogla znatno ugroziti prava i slobode pojedinaca provesti DPIA-e – to se posebno odnosi na obradu korištenjem novih tehnologija. U GDPR-u se navodi sljedeći djelomični popis slučajeva u kojima se moraju provesti DPIA-e:
- automatizirana obrada u svrhu profiliranja i sličnih aktivnosti koja pravno utječe ili slično znatno utječe na ispitanike;
- obrada velikih razmjera posebnih kategorija osobnih podataka – onih koji otkrivaju rasno ili etničko podrijetlo, političke stavove i slično, ili podataka povezanih s osudama za krivična djela ili krivičnim djelima;
- sustavni nadzor javno dostupnog područja velikih razmjera.
GDPR zahtijeva i da se prije početka bilo kakve obrade morate posavjetovati s nadležnim tijelom za zaštitu podataka (DPA-om) ako ne možete primijeniti dovoljno dobre mjere za smanjenje visokog rizika za ispitanike.
Microsoft u svojim inženjerskim i poslovnim djelatnostima primjenjuje podrazumijevanu zaštitu privatnosti i zadanu zaštitu privatnosti. U sklopu tih napora Microsoft izvodi sveobuhvatne revizije zaštite privatnosti nad operacijama obrade podataka koje mogu utjecati na prava i slobode ispitanika. Timovi za zaštitu podataka uklopljeni u servisne grupe revidiraju dizajn i implementaciju servisa da bi osigurali da se osobni podaci obrađuju na dostojanstven način u skladu s međunarodnim zakonima, očekivanjima korisnika i našim izričitim obavezama. Te revizije zaštite privatnosti često su vrlo detaljne – određeni servis može biti proći i više tisuća revizija. Microsoft je „zapakirao“ te detaljne revizije zaštite privatnosti u procjene učinka zaštite podataka (DPIA-e) koji pokrivaju glavne grupe obrade, a koje zatim revidira Microsoftov službenik za zaštitu podataka za EU (DPO). DPO procjenjuje rizike povezane s obradom podataka kako bi provjerio jesu li na raspolaganju odgovarajuće mjere zaštite. Ako DPO pronađe rizike koji nisu pokriveni, preporučit će promjene inženjerskoj grupi. DPIA-i će biti revidirani i ažurirani kako se rizici zaštite podataka mijenjaju.
Microsoft kao izvršitelj obrade ima obavezu pomagati voditeljima obrade u osiguranju usklađenosti sa zahtjevima DPIA-e navedenim u GDPR-u.
Kao vid podrške našim korisnicima, relevantni dijelovi Microsoftovih DPIA-a izdvojeni su i bit će preko ovog odjeljka uvršteni u buduća ažuriranja s namjerom da se voditeljima obrade omogući oslanjanje na Microsoftove servise u korištenju članaka za stvaranje vlastitih DPIA-ova.