Legal Briefings

Evaluarea impactului asupra protecției datelor (DPIA) conform GDPR – o abordare practică

După ce în luna decembrie 2017 am abordat o problemă de interes practic pentru companii prin prisma cerințelor GDPR, ne propunem ca acest articol să abordeze o alta temă de interes major pentru companii: când trebuie să evaluez impactul activităților mele de prelucrare asupra datelor cu caracter personal și, dacă da, cum realizez această evaluare?

Ce este DPIA, cand este necesară  și de ce?

Evaluarea impactului asupra protecției datelor, cunoscută și sub acronimul DPIA, este o cerință obligatorie în cadrul GDPR conform Articolului 35 și se va aplica doar asupra operațiunilor de procesare ce vor fi inițiate după data de 25 mai 2018.

În mod concret, DPIA permite organizațiilor să analizeze modul cum un proiect particular sau un sistem particular, ce implică activități de prelucrare a datelor cu caracter personal, va afecta dreptul persoanelor vizate la protecția datelor lor. În mod special, un tip de procesare care implică utilizarea noilor tehnologii informatice (de ex, în cazul unui nou sistem IT pentru stocarea și accesarea datelor cu caracter personal, sau folosirea datelor existente pentru un scop nou și mai intruziv) dar și natura, scopul și contextul unei procesări poate să rezulte într-un risc ridicat pentru drepturile și libertățile indivizilor. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similar.

A desfășura un studiu de impact precum DPIA nu trebuie să fie un proces îndelungat sau complex, cele de mai jos conținând un set de îndrumări practice pentru a urma un astfel de proces.

Ce trebuie să conțină, la minimun, DPIA?

DPIA trebuie sa conțină cel puțin:
►    o descriere a operațiunilor de prelucrare preconizate și a scopurilor prelucrării;
►    o evaluare a necesității și proporționalității prelucrării;
►    o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate.

Măsurile aveau ca scop:
►    gestionarea riscurilor;
►    demonstrarea conformității cu acest Regulament.

Responsabilități cu privire la DPIA

Obligația de realizare DPIA este prevazută de GDPR în sarcina operatorului, iar acesta este obligat să-și implice responsabilul cu protecția datelor (DPO) și Chief Information Security Officer (CISO) însă este recomandabil ca operatorul să obțină și avizul experților independenți din diverse domenii (IT, securitate, avocați, experți în sociologie, etică etc).

În general, responsabilitatea pentru a se asigura că studiul de impact asupra protecției datelor aparține șefilor de departamente (Information Owners) ai operatorului, cu precădere celor de resurse umane, marketing, securitatea informației, dar nu numai lor.

În practică, va fi util ca organizațiile să-și pregătească metodologii de realizare DPIA care să fie popularizate către Information Owners.

Este necesar DPIA pentru orice proiect?

Nu există prevederi în GDPR care să stabilească expres și limitativ în care situații este necesar DPIA. Ca principiu, DPIA va fi necesar acolo unde proiectul de procesare are un scop foarte larg sau va utiliza informații de așa natură încât este posibil sa creeze un risc ridicat pentru drepturile și libertățile indivizilor, sau acolo unde se folosesc tehnologii noi și intruzive, sau atunci când informații private sau sensibile se folosesc într-o manieră nouă și neașteptată.

În aprecierea riscului, se consideră că acolo unde beneficiul sau necesitatea prelucrării este mai mare, și riscul asociat prelucrării va fi mai mare.

Articolul 35 GDPR evidențiază doar unele situații în care DPIA este obligatorie. De exemplu, când se procesează un spectru larg de categorii speciale de date, sau oricare date personale au legatură cu condamnări penale sau contravenționale. Mai mult, dacă prelucrarea este bazată pe un mecanism automat de luare a deciziilor, inclusiv profilare, DPIA va fi necesară. Ultimul caz evidențiat de Articolul 35 este acela în care se realizează o monitorizare sistematică a unei zone accesibile la scara largă (întrarea într-o companie cu foarte mulți angajați).

Totuși, dacă prelucrarea datelor nu va pune în pericol drepturile și liberățile indivizilor sau dacă aceasta a fost deja autorizată pentru operațiuni similare, atunci nu va fi necesară DPIA. Același lucru este valabil în situația în care există o baza legală în legislația UE sau a statului membru.

Primii pași pentru a stabili dacă este necesar DPIA

Organizațiile care își pun întrebarea dacă sau nu un anumit proiect de procesare date cu caracter personal va necesita DPIA vor trebui să raspundă la următorul set de întrebări:
►    ce fel de date avem?
►    avem nevoie cu adevarat de toate aceste date?
►    cum utilizăm datele pe care le avem?
►    ce riscuri apar din procesarea acestor date?
►    cum putem minimiza aceste riscuri?

O analiză preliminară a necesității DPIA se poate face în baza registrului de prelucrări pe care l-ați întocmit deja pe baza cerințelor GDPR.

De ce să realizez DPIA?

►    pentru a identifica riscurile ce s-ar putea produce asupra protecției datelor private ale cetățenilor;
►    pentru a identifica gradul de conformitate cu obligațiile de protecția datelor;
►    pentru a proteja reputația organizației;
►    pentru a inspira încredere publicului în produsul/proiectul dvs;
►    pentru a evita soluții scumpe de remediere ulterioară a prejudiciilor.

Când ar trebui să încep un DPIA?

DPIA reprezintă o modalitate eficientă de protecție împotriva riscurilor atunci când sunt realizate la stadiile incipiente ale proiectului, respectiv când:
►    proiectul este în fază de creare;
►    stiți ce activități doriți să realizați;
►    stiți cine va fi implicat în realizarea proiectului.

Însă DPIA trebuie finalizat înainte ca:
►    deciziile în privința procesării de date private să fie stabilite în mod definitiv;
►    sistemele informatice să fi fost achiziționate;
►    întelegerile contractuale să fie definitivate prin semnare angajantă juridică;
►    să nu mai aveți posibilitatea de a vă razgândi.

Dacă ați realizat DPIA și a rezultat că riscul este scazut, prelucrarea poate începe și se va reevalua periodic dacă apar modificări.

Daca riscul asociat procesării a fost identificat ca unul ridicat sau dacă nu este clar că este necesar DPIA, veți avea două opțiuni:
►    nu veți începe procesarea;
►    veți consulta autoritatea de supraveghere înainte de a proceda la orice activiăți de procesare. Împreună cu autoritatea veți putea găsi soluția de minimizare a riscului (măsuri tehnice și organizaționale) și o veți implementa. Prelucrarea poate începe și se va reevalua periodic dacă apar modificări. Dacă nu găsiți remedii împreună cu autoritatea - nu veți începe procesarea sau veți modifica substanțial procesarea.

Este de așteptat ca autoritățile de supraveghere naționale să întocmească și să publice o listă cu tipurile de activități de procesare care sunt supuse cerinței de realizare DPIA, precum și o listă cu activități de procesare pentru care nu este necesară DPIA. 

Follow Us

Subscribe Our Newsletter

Amazing Deals, Updates & Freebies In Your Inbox

People's Poll

Ati stabilit măsurile ce ar trebui întreprinse pentru conformarea la prevederile Regulamentului (UE) 2016/679 ?
logo

Download Newskit App

Lorem Ipsum is simply dummy text of the printing and
typesetting industry.

banner
© 2017 BMPH. All Rights Reserved.Design & Development by LIDERO Network

Search