Evaluare de impact sau DPIA este un instrument conceput pentru a descrie prelucrarea, evaluarea necesităților și a gestiona riscurile la adresa drepturilor și libertăților persoanelor fizice.
De asemena, DPIA este un instrument important pentru asumarea răspunderii, întrucât acesta ajută operatorii să respecte cerințele GDPR. Dar și să demonstreze că aceștia au luar măsuri corespunzătoare în vederea asigurării conformității cu Regulamentul GDPR .
DPIA este un proces de consolidare și demonstrare a conformității Conform GDPR, neconformitatea cu cerințele DPIA poate conduce la aplicarea de amenzi de către autoritatea de supraveghere. Iată căteva exemple, cănd operatorii riscă amenzi: neefectuarea DPIA atunci când prelucrarea face obiectului unei DPIA, efectuarea unei DPIA într-un mod incorect sau neconsultarea autorității de supraveghere atunci cănd este necesar.
Atunci când prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. O listă cu situațiile în care este obligatorie realizarea unei evaluări de impact asupra protecţiei datelor cu caracter personal a fost întocmita și publicata de Autoritatea Națională de Supraveghere a Prelucrării Datelor, prin Decizia nr.174.2018.
Detaliem mai jos căteva situații în care este necesară realizarea unei evaluări de impact:
EXEMPLE DE PRELUCRARE | CRITERII RELEVANTE POSIBILE |
Un spital care prelucrează date de sănătate ale pacienților săi | Date sensibile sau foarte sensibile Date referitoare la persoane vizate vulnerabile Date prelucrate pe scară largă |
Utilizarea unui sitem de camere cctv pentru a monitorriza activitatea angajaților / clienților / elevilor | Monitorizare sistematică |
O societate care monitorizează activitatea angajaților săi | Date referitoare la persoane fizice vulnerabile ( angajații) |
Colectarea de date publice, de pe platformele de socializare pentru generarea de profiluri | Evaluare sau punctare Corelarea sau combinarea unor seturi de date Date sensibile sau date foarte personale |
Evaluarea de impact ar trebui să fie efectuată înaintea prelucrării . Ea ar trebui să fie interpretată ca un instrument pentru sprijinirea procesului decizional în ceea ce privește prelucrarea datelor.
Este obligativitatea operatorului , împreună cu responsabilul cu protecția datelor și cu persoanele împuternicite de operator să realizeze această analiză. În unele situații, este nevoie și de avizul persoanelor vizate sau al reprezentanților acestora.
Întrucăt întocmirea unei analize complete, care să îndeplinească caracteristicile minime , cf art 35 GDPR , este nevoie de experiență și experiză, echia DPO DATA CONSULTING te poate ghida în procesul de analiză de tip DPIA.