EDPS: Poročilo o raziskavi DPIA za leto 2024

EDPS: Poročilo o raziskavi DPIA za leto 2024
09. 09. 2025 objavil/a Info Hiša
35. člen GDPR
36. člen GDPR
DPIA
EDPS

EDPS je v raziskavi o pripravah DPIA v EU institucijah ugotovil, da se DPIA izvajajo prepozno v projektih, da niso vključeni ustrezni deležniki in da manjkajo dodatni ukrepi za zniževanje tveganj ter ponovna ocena tveganj.

Poročilo je bilo objavljeno 8.9.2025

EDPS je z raziskavo želel zbrati informacije o tem, kako EUI izvajajo ocene učinka na varstvo podatkov, in primerjati rezultate s prejšnjo anketo na to temo, zdaj ko imajo EUI več izkušenj. Štiri leta po izvedbi prve raziskave se zdi, da je EDPS prejel manj ocen tveganj v predhodno posvetovanje v skladu s členom 40 EUDPR, kot bi bilo pričakovati glede na to, kako zelo se spreminja okolje obdelave podatkov na terenu, vključno z naraščajočo uporabo tehnologij in orodij umetne inteligence.

Ocene učinka na varstvo podatkov bi morale biti med najdragocenejšimi viri za razumevanje takšnih sprememb v okolju obdelave podatkov, pooblaščena oseba za varstvo podatkov pa ima na ta način edinstven horizontalni pogled na izzive v zvezi z DPIA-mi. Zato se je EDPS na podlagi člena 32 EUDPR odločil, da bo izvedel anketo, naslovljeno na vse pooblaščene osebe EU institucij. Poleg tega je od vsake institucije zahteval zadnji dve izvedeni DPIA, za kateri se je upravljavec odločil, da se ne bo posvetoval z EDPS v skladu s členom 40(1) EUDPR, vključno s sklicevanjem na nasvet, ki ga je DPO podal v zadnjem stavku navedenega člena.

EDPS se je pri pripravi poročila osredotočil na pregled, da bi ugotovil splošne vzorce in pomembne izjeme. Ta pristop je omogočil, da je to poročilo učinkovito analiziralo skupne podatke, s čimer se je zagotovilo, da zajema pomembne trende in anomalije, ki izhajajo iz širšega nabora predloženih dokumentov. To bo prispevalo k izboljšanju smernic EDPS o ocenah učinka na varstvo podatkov.

Ugotovitve razikave

  1. Področje DPIA se je od zadnje raziskave EDPS leta 2020 spremenilo. Zdaj je večina EU institucij že izvedla DPIA (v primerjavi s samo 17 ocenami učinka, ki so bile dokončane leta 2020). 31 EU institucij je v odgovoru na anketo navedlo, da sploh niso izvedli DPIA ali pa niso izvedli nobene, ki bi bila zajeta v zahtevi.

  2. Od leta 2018 so EU institucije izvedle 242 ocen učinka v zvezi z varstvom podatkov; v istem obdobju je EDPS prejel 3 v predhodno posvetovanje v skladu s členom 40 EUDPR.

  3. 31 EU institucij je izvedlo manj kot 10 tehtanj, ali je DPIA potrebna.

  4. Včasih EU institucije v tehtanju opredelijo ustrezna tveganja dejavnosti obdelave, vendar teh spoznanj kasneje ne upoštevajo v DPIA, npr. ocena učinka v zvezi z varstvom podatkov se osredotoča le na varnostna tveganja in ne odraža tveganj za posameznike, na katere se nanašajo osebni podatki.

  5. 39 od 71 EU institucij, ki so sodelovali v tej anketi, je odgovorilo, da se pri izvajanju svojih DPIA zanašajo na predlogo EDPS.

  6. Od skupno 79 pregledanih DPIA (dve predloženi sta bili dejansko le tehtanji, ali je DPIA potrebna) 13 % DPIA ni vsebovalo sistematičnega opisa dejavnosti obdelave.

  7. Večina pregledanih DPIA ni vključevala podrobnega diagrama pretoka podatkov (diagrama poteka).

  8. V 15 od 79 DPIA, pregledanih v anketi, EU institucije niso dokazale ocene nujnosti in sorazmernosti postopkov obdelave glede na namene.

  9. Upravljavec pogosto ne dokumentira sodelovanja pooblaščene osebe za varstvo podatkov pri tehtanju obveze izvedbe DPIA, sami pripravi DPIA in pripravi odločitve o tem, ali se bo institucija posvetovala z EDPS.

  10. Večina EU institucij uporablja numerični sistem za ocenjevanje tveganj, nekateri ne pojasnijo, kako dobijo določeno oceno.

  11. EU institucije, ki za pripravo tehtanja in DPIA uporabljajo kontrolni seznam s celotnim besedilom navodil, vključno z ključnimi primeri in protiprimeri, na ta način zagotavljajo celovitejši pregled specifičnega rezultata. To še posebej velja, kadar je upravljavec prisiljen izrecno utemeljiti ustrezno označitev polj (svetujemo podrobni pregled poročila na 26. strani).

Čeprav se poročilo osredotoča na institucije, organe, urade in agencije EU, so ugotovitve aplikativne tudi za zasebni sektor, še zlasti tista, ki uvajajo sisteme umetno inteligenco.

Vir. EDPS