За да определи кои операции на обработка веројатно ќе резултираат со висок ризик и за кои ПВЗЛП е задолжителна, контролорот мора да ги има предвид најмалку еден од следните критериуми:
- Евалуација или бодирање, вклучително и профилирање и предвидување, особено врз основа на аспекти поврзани со работењето на субјектот на лични податоци, економската состојба, здравјето, личните преференции или интереси, сигурност или однесување, локацијата или движења. Пример за овој критериум е финансиска институција која ги проверува своите клиенти во референтни бази на податоци за кредитна способност, во базите на податоци за борба против перење пари и финансирање на тероризам или во базата на податоци за измами; компанија за биотехнологија која нуди генетско тестирање на своите клиенти за проценa и предвидување на болести или ризици по здравјето; или компанија која изработува профили на однесување или маркетиншки профил врз основа на користењето или прегледувањата на нејзината веб-страница.
- Автоматско донесување одлуки со правно или слично суштинско дејство, односно обработка насочена кон донесување одлуки за субјектите на лични податоци што произведуваат правни последици за физичкото лице или на сличен начин значајно влијаат на физичкото лице. На пример, обработката може да резултира со исклучување или дискриминација на поединци. Обработката што има мало или нема влијание врз поединците не одговара на овој критериум.
- Систематско набљудување, односно обработка која се користи за следење, набљудување или контрола на субјектите на лични податоци, вклучително и податоци собрани преку мрежи или „систематско набљудување на јавно достапни простори“. Овој вид на набљудување е еден од критериумите бидејќи личните податоци можат да се собираат во ситуации кога субјектите на лични податоци не се свесни кој ги собира нивните податоци и за кои цели ќе се користат. Покрај тоа, поединците можеби нема да можат да ја избегнат таквата обработка на јавни (или јавно достапни) места.
- Чувствителни податоци или податоци од изразита лична природа: ова вклучува посебни категории на лични податоци кои се определени во членот 4 став (1) точка 13 од Законот за заштита на личните податоци, како и лични податоци поврзани со казнени осуди и казнени дела. На пример, општа болница која чува медицинска документација на пациентите или приватен детектив кој чува детали за сторителите.
Одредени категории на податоци може да се сметаат дека го зголемуваат потенцијалниот ризик за правата и слободите на физичките лица. Овие лични податоци се сметаат за чувствителни затоа што се поврзани со активности во домот и приватни активности (на пример, електронската комуникација чија доверливост треба да се заштити) или затоа што тие влијаат врз остварувањето на основно право (на пример, податоците за локацијата, со чие собирање се доведува во прашање слободата на движење) или затоа што нивното кршење сериозно влијае врз секојдневниот живот на субјектите на лични податоци (како на пример, финансиски податоци кои можат да се искористат за измами во платниот промет). Во оваа смисла, може да биде важно дали овие податоци веќе биле јавно достапни од субјектот на лични податоци или трето лице. Фактот дека личните податоци се јавно достапни, може да се смета како фактор во проценката доколку се очекувало да се продолжи со користење на тие податоци за специфични цели. Овој критериум може да вклучува и податоци како што се лични документи, е-пошта, дневници, белешки од е-читачи на кои може да внесуваат забелешки и многу лични информации содржани во апликациите за водење на секојдневни активности.
- Обемна обработка на податоци. При утврдување дали обработката е обемна според околностите на секој конкретен случај, се земаат предвид следниве фактори:
- број на засегнати субјекти на лични податоци, било да е конкретен број или процент од релевантното население;
- обем на податоци и/или опфат на различни видови податоци што се обработуваат;
- траење или непрекинатост на операциите на обработка на личните податоци;
- географскиот опсег на активностите за обработка на личните податоци.
- Сет од лични податоци што се совпаѓаат или комбинираат, на пример оние кои потекнуваат од две или повеќе операции на обработка на лични податоци кои се извршени за различни цели и/или од различни контролори на начин што ги надминува разумните очекувања на субјектот на личните податоци.
- Податоци кои се однесуваат на ранливи субјекти на лични податоци: обработката на овој вид на податоци е критериум заради зголемената нерамнотежа на моќта помеѓу субјектите на лични податоци и контролорите, при што физичките лица не можат едноставно да се согласат или да се спротивстават на обработката на нивните податоци или да ги остварат своите права. Ранливи субјекти на лични податоци се децата (се смета дека не можат свесно и намерно да се согласат или да се спротивстават на обработката на нивните лични податоци), вработени, поранливи групи на кои им е потребна посебна заштита (лица со ментална попреченост, баратели на азил или постари лица, пациенти и др.), како и друг случаи кога постои нерамнотежа во положбата на субјектот на личните податоци и контролорот.
- Иновативна употреба или примена на нови технолошки или организациски решенија, како што се комбинирање на употреба на отпечаток од прст и препознавање на лице за подобрување на контролата на физичкиот пристап, итн. Употребата на нова технологија, дефинирана во согласност со достигнатото ниво на технолошко знаење, може да доведе до потреба да се спроведе ПВЗЛП. Ова е затоа што употребата на таква технологија може да опфати иновативни форми на прибирање и употреба на податоци со можен висок ризик за правата и слободите на поединците. Личните и социјалните последици од примената на новата технологија сè уште се непознати. ПВЗЛП му помага на контролорот во разбирањето и управувањето со ваквите ризици. На пример, одредени апликации „Интернет на нештата“ (Internet of Things- IoT) можат значително да влијаат врз секојдневниот живот и приватноста на поединците; затоа, треба да се спроведе ПВЗЛП.
- Ситуации кога обработката може да спречи субјектите на лични податоци да остварат одредени права или да користат услуга или договор. Ова вклучува процедури за обработка кои треба да го овозможат, изменат или одбијат пристапот на субјектите на личните податоци до одредена услуга или склучување на договор. На пример, банката, ги проверува клиенти во базата на податоци за кредитна способност, при одлучувањето за заем.
Примери како треба да се користат критериумите за да се процени дали за одредена операција на обработка треба да се спроведе ПВЗЛП:
Примери за обработка | Можни релевантни критериуми | Дали е потребно да се спроведе ПВЗЛП? |
---|---|---|
Болница која обработува генетски и здравствени податоци на своите пациенти (болнички информациски систем). |
|
Да |
Употреба на систем за видео надзор за следење на однесувањето на возачите на автопатите. Контролорот има намера да користи интелигентен систем за видео анализа за издвојување на автомобилите и автоматско препознавање на регистарските таблички. |
|
Да |
Компанија која систематски ги следи активностите на своите вработени, вклучително и следењето на работните станици на вработените, активностите на интернет итн. |
|
Да |
Собирање на лични податоци од јавни социјални медиуми за изработка на профили |
|
Да |
Собирање и чување на псеводанонимизирани чувствителни лични податоци за цели на архивирање кои се однесуваат на ранливи субјекти на лични податоци за истражувачки проекти или клинички испитувања. |
|
Да |
Обработка на лични податоци на пациенти или клиенти на матични лекари, други здравствени работници или адвокат |
|
Не |
Онлајн списание кое користи мејлинг листа за испраќање на дневни вести на своите претплатници. |
|
Не |
Веб страница за е-трговија која прикажува реклами за делови за олдтајмери, која вклучува делумно профилирање врз основа на прегледите или нарачките од нивната веб страница. |
|
Не |
Листата на видовите операции на обработка за кои се бара проценка на влијанието врз заштитата на личните податоци може да ја преземете на следниот линк.