Orientări privind evaluarea impactului asupra protecției datelor (DPIA)

Evaluare de impact sau DPIA este un instrument conceput pentru a descrie prelucrarea, evaluarea necesităților și a gestiona riscurile la adresa drepturilor și libertăților persoanelor fizice.
De asemena, DPIA este un instrument important pentru asumarea răspunderii, întrucât acesta ajută operatorii să respecte cerințele GDPR. Dar și să demonstreze că aceștia au luar măsuri corespunzătoare în vederea asigurării conformității cu Regulamentul GDPR .

Ce este evaluarea de impact DPIA ?

DPIA este un proces de consolidare și demonstrare a conformității Conform GDPR, neconformitatea cu cerințele DPIA poate conduce la aplicarea de amenzi de către autoritatea de supraveghere. Iată căteva exemple, cănd operatorii riscă amenzi: neefectuarea DPIA atunci când prelucrarea face obiectului unei DPIA, efectuarea unei DPIA într-un mod incorect sau neconsultarea autorității de supraveghere atunci cănd este necesar.

Când este o evaluare de impact (DPIA) obligatorie?

Atunci când prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice.  O listă cu situațiile în care este obligatorie realizarea unei evaluări de impact asupra protecţiei datelor cu caracter personal a fost întocmita și publicata de Autoritatea Națională de Supraveghere a Prelucrării Datelor,  prin Decizia nr.174.2018.

Detaliem mai jos căteva situații în care este necesară realizarea unei evaluări de impact:

  1. Crearea de profiluri sau punctarea, în special atunci cănd vorbim de ” randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințe sau interese personale, fiabilitatea sau comportamentul, locația sau deplasările” ( considerentele 71 și 91 GDPR) . Exemple de acest gen ar putea include : o societate care creează profiluri comportamentale sau de comercializare a clienților săi.
  2. Monitorizarea sistematică – prelucrare utilizată pentru observarea, monitorizarea sau controlul persoanelor vizate. Exemple de acest gen ar putea include : monitorizarea cu ajutorul camerelor CCTV.
  3. Se prelucrează date sensibile sau date foarte sensibile . Acestea includ categorii speciale de date definite de art.9 GDPR (informații cu privire la opiniile politice ale persoanelor, date referitoare la condamnări penale sau infracțiuni). Dar și date care ar putea leza drepturile și libertățile persoanelor fizice, cum ar fi: date financiare, date de loicalizare.  Ex : un spital care păstrază datele medicale ale pacienților .
  4. Date prelucrate pe scară largă . Următorii factori sunt luați în calcul atunci cănd se face aprecierea de ”scară largă”: nr de persoane vizate căruia se adresează, volumul de date , durata de prelucrare a datelor și extinderea geografică a prelucrării de date. 
  5. Date privind persoanele fizice vulnerabile. Persoanele vulnerabile pot include : copii, angajați, persoane bolnave, pacienți, veterani. 
  6. Utilizarea inovatoare sau aplicarea unor soluții tehnologie sau organizaționale noi, cum ar fi:  refcunoașterea facială, amprenta digitală pentru îmbunătățirea accesului controlului fizic . Sau anumite aplicații de tipul ”internetul obiectelor”.
  7. Atunci când „prelucrarea în sine împiedică persoana vizată să-și exercite un drept sau să utilizeze un serviciu ori un contract„.

Exemple de prelucrare de date care impun o evaluare de impact (DPIA).

EXEMPLE DE PRELUCRARE 

CRITERII RELEVANTE POSIBILE 

Un spital care prelucrează date de sănătate ale pacienților săi

Date sensibile sau foarte sensibile

Date referitoare la persoane vizate vulnerabile

Date prelucrate pe scară largă

Utilizarea unui sitem de camere cctv pentru a monitorriza activitatea angajaților / clienților / elevilor

Monitorizare sistematică

O societate care monitorizează activitatea angajaților săi

Date referitoare la persoane fizice vulnerabile ( angajații)

Colectarea de date publice, de pe platformele de socializare pentru generarea de profiluri

Evaluare sau punctare

Corelarea sau combinarea unor seturi de date

Date sensibile sau date foarte personale

Cine poate realiza DPIA?

Evaluarea de impact ar trebui să fie efectuată înaintea prelucrării . Ea ar trebui să fie interpretată ca un instrument pentru sprijinirea procesului decizional în ceea ce privește prelucrarea datelor.

Este obligativitatea operatorului , împreună cu responsabilul cu protecția datelor și cu persoanele împuternicite de operator să realizeze această analiză. În unele situații, este nevoie și de avizul persoanelor vizate sau al reprezentanților acestora.

Întrucăt întocmirea unei analize complete, care să îndeplinească caracteristicile minime , cf art 35 GDPR , este nevoie de experiență și experiză, echia DPO DATA CONSULTING te poate ghida în procesul de analiză de tip DPIA.

Solicită o cerere de ofertă

Call Now Button