Procjene učinka zaštite podataka (DPIA-i)

Kako Microsoft pomaže voditeljima obrade u provedbi procjene učinka zaštite podataka prema GDPR-u.

Prateća dokumentacija za procjene učinka zaštite podataka

Office 365

Dynamics 365

Microsoftove profesionalne usluge


Najčešća pitanja o procjeni učinka zaštite podataka

U nastavku su važna pitanja i odgovori o onome što zahtijeva GDPR.

|

Prema GDPR-u, kao voditelj obrade obavezni ste prije obrade koja bi mogla znatno ugroziti prava i slobode pojedinaca provesti DPIA-e – to se posebno odnosi na obradu korištenjem novih tehnologija. U GDPR-u se navodi sljedeći djelomični popis slučajeva u kojima se moraju provesti DPIA-e:

  • automatizirana obrada u svrhu profiliranja i sličnih aktivnosti koja pravno utječe ili slično znatno utječe na ispitanike;
  • obrada velikih razmjera posebnih kategorija osobnih podataka – onih koji otkrivaju rasno ili etničko podrijetlo, političke stavove i slično, ili podataka povezanih s osudama za krivična djela ili krivičnim djelima;
  • sustavni nadzor javno dostupnog područja velikih razmjera.

GDPR zahtijeva i da se prije početka bilo kakve obrade morate posavjetovati s nadležnim tijelom za zaštitu podataka (DPA-om) ako ne možete primijeniti dovoljno dobre mjere za smanjenje visokog rizika za ispitanike.

Microsoft u svojim inženjerskim i poslovnim djelatnostima primjenjuje podrazumijevanu zaštitu privatnosti i zadanu zaštitu privatnosti. U sklopu tih napora Microsoft izvodi sveobuhvatne revizije zaštite privatnosti nad operacijama obrade podataka koje mogu utjecati na prava i slobode ispitanika. Timovi za zaštitu podataka uklopljeni u servisne grupe revidiraju dizajn i implementaciju servisa da bi osigurali da se osobni podaci obrađuju na dostojanstven način u skladu s međunarodnim zakonima, očekivanjima korisnika i našim izričitim obavezama. Te revizije zaštite privatnosti često su vrlo detaljne – određeni servis može biti proći i više tisuća revizija. Microsoft je „zapakirao“ te detaljne revizije zaštite privatnosti u procjene učinka zaštite podataka (DPIA-e) koji pokrivaju glavne grupe obrade, a koje zatim revidira Microsoftov službenik za zaštitu podataka za EU (DPO). DPO procjenjuje rizike povezane s obradom podataka kako bi provjerio jesu li na raspolaganju odgovarajuće mjere zaštite. Ako DPO pronađe rizike koji nisu pokriveni, preporučit će promjene inženjerskoj grupi. DPIA-i će biti revidirani i ažurirani kako se rizici zaštite podataka mijenjaju.

Microsoft kao izvršitelj obrade ima obavezu pomagati voditeljima obrade u osiguranju usklađenosti sa zahtjevima DPIA-e navedenim u GDPR-u.

 

Kao vid podrške našim korisnicima, relevantni dijelovi Microsoftovih DPIA-a izdvojeni su i bit će preko ovog odjeljka uvršteni u buduća ažuriranja s namjerom da se voditeljima obrade omogući oslanjanje na Microsoftove servise u korištenju članaka za stvaranje vlastitih DPIA-ova.