DPIA (Data Processing Impact Assessment) si ce presupune aceasta analiza

Article DPIA (Data Processing Impact Assessment)  si ce presupune aceasta analiza | Decalex

Ce este o DPIA?

DPIA este acronimul pentru Data Processing Impact Assessment, în limba română tradusă prin “Evaluarea impactului asupra protecției datelor” și reprezintă un instrument de conformare la cerințele impuse prin Regulamentul 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal (“RGPD”).

Evaluarea impactului asupra protecției datelor are practic următoarele scopuri:

  • Descrie succint prelucrarea respectivă de date;
  • Evaluează necesitatea și proporționalitatea prelucrării;
  • Evaluează și gestionează riscurile la adresa drepturilor și libertăților persoanelor fizice;
  • Stabilirea de modalități de mitigare/eliminare a riscurilor și/sau soluționarea lor;
  • Demonstrează conștientizarea operatorului de date în ceea ce privește importanța conformității cu Regulamentul.

Acest instrument este reglementat la articolul 35 din RGPD, în care sunt precizate cazurile în care se impune elaborarea unei DPIA, persoanele care intervin în acest proces, îndatoririle Autorității de supraveghere și aspectele ce trebuie să se regăsească în document.

 

Când este obligatorie DPIA? Dar când este recomandată, nefiind obligatorie elaborarea ei?

Potrivit art. 35 din RGPD, elaborarea unei DPIA este obligatorie mai ales în cazul:

  • unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
  • prelucrării pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;
  • unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

După cum este menționat, precizările din art. 35 nu reprezintă o enumerare exhaustivă, ci este mai mult cu titlu de exemplu, întrucât situațiile în care elaborarea unei DPIA este obligatorie nu se limitează la cele 3 enumerate.

Cu toate acestea, pe lângă Regulament, putere de decizie are și Autoritatea națională de Supraveghere care, potrivit alineatului 4 din același articol, “întocmește și publică o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor [...]”. Astfel, Autoritatea română de supraveghere a adoptat 

Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 919 din 31 octombrie 2018. 

Enumerăm pe scurt cele mai importante cazuri în care DPIA este obligatorie (în afara celor 3 cazuri din RGPD), potrivit Autorității:

  • prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor și ale angajaților, prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing și publicitate;
  • prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;
  • prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicații “Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, orașe inteligente sau alte asemenea aplicații);
  • prelucrarea pe scară largă și/sau sistematică a datelor de trafic și/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.

Astfel, după cum am spus și mai sus, atât situațiile enumerate în art. 35 din Regulament, cât și cele stabilite de Autoritatea de Supraveghere, nu reprezintă o enumerare exhaustivă, care să acopere toate situațiile posibile în care este necesară elaborarea unei DPIA, lăsând astfel loc de interpretare și putere de decizie operatorilor de date care se pot afla în situația prelucrării de date cu caracter personal care să genereze riscuri ridicate la adresa drepturilor și libertăților persoanelor fizice.

 

Însă cum ne dăm seama dacă ne aflăm într-o situație care ar necesita elaborarea unei DPIA, nefiind unul dintre cele 7 cazuri exprese de mai sus?

 

Potrivit Ghidului privind evaluarea impactului asupra protecției datelor (DPIA) și modul în care

se determină dacă prelucrarea este „susceptibilă să genereze un risc ridicat” elaborat de Grupul de Lucru Art. 29, pentru a cataloga o prelucrare ca fiind susceptibilă să genereze un risc ridicat, trebuie avute în vedere următoarele criterii:

  1. Evaluarea, crearea de profiluri comportamentale;
  2. Luarea de decizii în mod automat cu un efect juridic sau similar semnificativ;
  3. Monitorizarea sistematică;
  4. Date sensibile sau date foarte personale;
  5. Datele prelucrate pe scară largă (având în vedere nr. persoanelor vizate, volumul de date, durata prelucrării);
  6. Corelarea sau combinarea seturilor de date;
  7. Date privind persoanele vizate vulnerabile;
  8. Utilizarea inovatoare sau aplicarea unor soluții tehnologice sau organizaționale noi;
  9. Atunci când prelucrarea în sine „împiedică persoanele vizate să exercite un drept sau să utilizeze un serviciu ori un contract”.

În general, un operator de date poate considera ca fiind necesară elaborarea unei DPIA dacă este prezent/îndeplinit și un singur criteriu din cele nouă enumerate. Potrivit WP29 (Working Party 29 sau Grupul de Lucru art. 29), “pe măsură ce sunt îndeplinite tot mai multe criterii de prelucrare, aceasta este mai susceptibilă să prezinte un risc ridicat pentru drepturile și libertățile persoanelor vizate și, prin urmare, să necesite o DPIA, indiferent de măsurile pe care operatorul intenționează să le adopte.” (pag. 12 din Ghid).

 

Deci când nu este necesară o DPIA?

  • când prelucrarea nu este „susceptibilă să genereze un risc ridicat”;
  • când există o DPIA similară;
  • când aceasta a fost autorizată înainte de luna mai 2018;
  • când o activitate de prelucrare are un temei juridic;
  • sau când activitatea de prelucrare se află pe lista operațiunilor de prelucrare pentru care nu este necesară o DPIA.

În ce moment se elaborează DPIA?

DPIA este un instrument esențial în luarea deciziilor cu privire la prelucrările care prezintă un risc ridicat, motiv pentru care această evaluare trebuie realizată anterior prelucrării respective, în stadiul de proiectare sau chiar și atunci când unele d14444intre operațiile de prelucrare sunt încă necunoscute. 

Este important să reținem că realizarea unei DPIA nu este un exercițiu unic ci un proces continuu, astfel că aceasta trebuie actualizată pe parcursul întregului ciclu de viață al prelucrării respective.

 

Care sunt pașii pentru întocmirea unei DPIA?

  1. Analizează dacă este necesară o DPIA- având în vedere criteriile de mai sus.
  2. Identifică persoanele care ar trebui implicate în acest proces- operatorul de date, responsabilul cu protecția datelor, persoanele împuternicite, managerii de departamente, responsabilul cu securitatea informațiilor, etc.
  3. Descrie prelucrările preconizate.
  4. Evaluează necesitatea și proporționalitatea prelucrării.
  5. Evaluează riscurile la adresa drepturilor și libertăților persoanelor vizate.
  6. Stabilește măsurile de mitigare/înlăturare a riscurilor.
  7. Elaborează documentul final. Atenție! În cazul în care după aplicarea măsurilor stabilite, riscurile reziduale ar fi ridicate, operatorul este obligat să consulte Autoritatea de Supraveghere.
  8. Monitorizează aplicarea DPIA și revizuiește-o pe întregul ciclu de viață al prelucării respective.

Cine trebuie să întocmească DPIA?

Potrivit art. 35 alin. 2 din RGPD, “la realizarea unei evaluări a impactului asupra protecției datelor, operatorul solicită avizul responsabilului cu protecția datelor, dacă acesta a fost desemnat.” Astfel, responsabilitatea elaborării documentului revine operatorului de date, cu consultarea responsabilului cu protecția datelor.

În cazul în care prelucrarea este efectuată integral sau parțial de către o persoană împuternicită de operator, persoana împuternicită de operator ar trebui să asiste operatorul în efectuarea DPIA și să furnizeze toate informațiile necesare.

 

Ce urmări trebuie să aibă întocmirea unei DPIA, într-o companie?

O evaluare tip DPIA trebuie să reprezinte un instrument de bază pentru prelucrarea respectivă, un modus operandi în acea operațiune, fiind un ajutor pentru îmbunătățirea proceselor de prelucrare pe care le desfășurați. 

Bineînteles, toate măsurile de micșorare/înlăturare a riscurilor precizate în evaluare trebuie aplicate și în realitate în vederea punerii la adăpost a datelor cu caracter personal ale persoanelor vizate.

Publicarea evaluării, spre a fi accesibilă publicului larg, deși nu este obligatorie, poate reprezenta o modalitate de creștere a încrederii posibililor clienți, parteneri în compania dumneavoastră. 

 

Dacă treci printr-un proces de DPIA și ai nevoie de expertiză, echipa noastră îți pune la dispoziție experiența dobândită în ultimii 8 ani pentru a te ghida în procesul de realizare a evaluării de tip DPIA. Contactează-ne și hai să discutăm.

Share:
Andra Pipoș
Autor: Andra Pipoș

Junior Privacy & Data Protection Consultant

PUNE O INTREBARE