DPIA a FRIA

Už sme si tak nejako zvykli, že naše profesionálne životy sú pretkané mnohými skratkami. Obzvlášť, ak sú to skratky z anglického jazyka. O nič menej to nebude ani v tomto článku. 

Pozrieme sa v ňom podrobnejšie na DPIA a FRIA. 

Čo ich spája, či majú niečo spoločné, ako ich vykonať správne a efektívne a najmä, kedy. 

Na úvod však začneme vysvetlením skratiek.

 

DPIA 

Data protection impact assessment. Po slovensky: posúdenie vplyvu na ochranu údajov podľa článku 35 GDPR.

 

FRIA

Fundamental Rights Impact Assessment. Po slovensky: posúdenie vplyvu na základné práva v prípade vysokorizikových systémov AI podľa článku 27 AI ActuNariadenie EP a Rady (EÚ) č. 2024/1689 z 13. júna 2024, ktorým sa stanovujú harmonizované pravidlá v oblasti umelej inteligencie a ktorým sa menia nariadenia (ES) č. 300/2008, (EÚ) č. 167/2013, (EÚ) č. 168/2013, (EÚ) 2018/858, (EÚ) 2018/1139 a (EÚ) 2019/2144 a smernice 2014/90/EÚ, (EÚ) 2016/797 a (EÚ) 2020/1828 (akt o umelej inteligencii). 

 

Čo majú tieto dve posúdenia spoločné? 

Obom reguláciám (GDPR aj AI Actu) leží na srdci ochrana základných práv dotknutých osôb. Z toho dôvodu nariaďujú, aby v prípade určených (de facto rizikových) operácií prevádzkovateľSprostredkovateľ je podľa čl. 28 ods. 3 písm. f) GDPR povinný sa v zmluve zaviazať pomáhať prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi. posúdil dopady spracovateľskej operácie na dotknuté osoby a ich základné práva. V oboch prípadoch má posúdenie vplyvu logicky vyústiť do prijímania opatrení na zmiernenie až po úplnú elimináciu identifikovaných rizík.

Môžeme si to uviesť na príklade. Každý má právo na prácu, rešpektovanie súkromného a rodinného života. Nemocnica spracúva údaje o zdraví pacientov vo veľkom rozsahu. Existuje tu isté riziko úniku týchto osobných údajov (údaje spracúva neoprávnená osoba, k údajom bude mať prístup neoprávnená osoba, údaje uniknú zo zdravotníckeho zariadenia v dôsledku nesprávne uvedenej mailovej adresy a pod.). Únikom údajom môže dotknutý pacient prísť (z dôvodu vážnosti ochorenia) o prácu, priateľov, rodinu. Na vymenované práva by mala takáto udalosť jednoznačne závažný dopad. Prevádzkovateľ preto pri posúdení vplyvu prechádza svoje procesy a hľadá nástroje na elimináciu týchto rizík. 

Vyškolí personál, riadi prístupy, opatruje odosielané údaje mailom, heslom a pod. 

Podľa GDPR platí, že ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania, pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie (nemocnica z nášho prípadu by nemusela robiť posúdenie pre každú spracovateľskú operáciu s podobnými rizikami). 

Podľa AI Actu platí, že pred nasadením vysokorizikového systému AI uvedeného v článku 6 ods. 2, s výnimkou vysokorizikových systémov AI určených na používanie v oblasti uvedenej v prílohe III bode 2, nasadzujúce subjekty, ktoré sú verejnoprávnymi orgánmi alebo súkromnými subjektmi poskytujúcimi verejné služby, a subjekty nasadzujúce vysokorizikové systémy AI uvedené v prílohe III bode 5 písm. b) a c) vykonajú posúdenie vplyvu na základné práva, ktorý môže mať použitie takéhoto systému. 

DPIA a FRIA majú spoločný aj ďalší prienik. Článok 27 ods. 4 AI Actu hovorí, že ak je ktorákoľvek z povinností stanovených v článku 27 (povinnosť vykonať FRIA pre vysokorizikový systém) už splnená prostredníctvom posúdenia vplyvu na ochranu údajov vykonaného podľa článku 35 GDPR, posúdenie vplyvu na základné práva uvedené v článku 27 doplní toto posúdenie vplyvu na ochranu údajov.

Autor: JUDr. Paula Babicová