Analiza DPIA - GDPR

În cadrul procesului de adaptare la prevederile GDPR (regulamentul general privind protecția datelor), vei parcurge mai multe etape, dintre care cele mai importante vor fi auditul și implementarea. Un termen despre care vei tot auzi pe parcursul acestui proces de respectare a protecției datelor cu caracter personal este DPIA GDPR. Poți apela la servicii de consultanță GDPR pentru a desluși acest termen sau te poți lămuri din rândurile următoare! 

Ce presupune DPIA (evaluarea impactului asupra protecției datelor)?

Evaluarea impactului asupra protecției datelor, cunoscută sub acronimul DPIA (Data Protection Impact Assessment), reprezintă un proces pentru construirea și demonstrarea conformității, prevăzut la art. 35 din Regulamentul General privind Protecția Datelor (GDPR). 

Aceasta evaluare este necesara în special în cazul proiectării unor noi soluții tehnologice sau organizaționale, a căror funcționalități ar implica prelucrarea de date cu caracter personal. 

Rolul evaluarii impactului asupra protectie datelor?

Rolul evaluării impactului asupra protecției datelor este de a descrie prelucrarea și de a evalua necesitatea și proporționalitatea acesteia. DPIA este un element esențial al procesului de gestionarea riscurilor la adresa drepturilor și libertăților persoanelor rezultate din prelucrarea datelor personale, prin evaluarea acestora și stabilirea de măsuri pentru atenuarea lor. 

DPIA reprezintă un instrument important pentru responsabilizare, prin intermediul căruia operatorii pot să demonstreze întreprinderea măsurilor adecvate pentru a asigura conformitatea cu GDPR.

Când este obligatorie DPIA?

O listă cu 7 situații în care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal a fost a întocmita și publicata de Autoritatea națională de supraveghere prin Decizia nr.174.2018. 

Aceasta listă nu este însă exhaustivă! Evaluarea impactului asupra protecției datelor este necesară și în cazul în care o prelucrare de date, deși nu se regăsește în acea lista, este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice.

șa cum spuneam și mai sus, această listă nu este exhaustivă. Astfel, deși există un model DPIA sau un ghid DPIA, asta nu înseamnă că nu vei avea  probleme cu autoritatea pentru protecția datelor dacă nu te încadrezi în cele șapte situații detaliate. Așadar, va fi indicat să-ți pui următoarele întrebări pentru a stabili dacă activitatea de prelucrare pe care o desfășori poate genera un risc ridicat pentru libertățile și drepturile persoanelor fizice: 

• Desfășor activități de evaluare/scoring, ce pot include și preconizare și/sau profilare, activități ce pot avea impact considerabil asupra libertăților și drepturilor persoanelor în cauză? 
• Activitatea de prelucrare este posibil să ducă la excluderea sau discriminarea persoanelor vizate? 
• Datele prelucrate sunt sensibile sau de natură extrem de personală? 
• Activitatea de prelucrare a datelor are loc la scară largă?
• Utilizez noi tehnologii în activitățile de prelucrare a datelor?

Dacă ai răspuns cu „DA” la mai mult de două întrebări, îți sugerăm să realizezi o evaluare de impact cât mai curând! 

Cui i se aplică DPIA? 

DPIA poate face referire la o singură operațiune de prelucrare, dar în același timp o singură analiză DPIA poate fi folosită în scopul evaluării a multiple operațiuni de prelucrare similare, asta pentru a determina obiectivul, contextul, scopul, dar și natura riscurilor. 

De exemplu, dacă un grup de autorități folosește supravegherea video CCTV în conformitate cu prevederile GDPR, fiecare cu sistemul CCTV similar dar separat, se poate realiza o singură DPIA pentru acoperirea prelucrării efectuate de toți acești operatori. Fiecare operator de date își va exprima nevoile și va împărtăși informații utile, asta fără a-și compromite secretele. 

Nu în ultimul rând, o analiza DPIA poate fi utilă și pentru evaluarea impactului referitor la protecția datelor în cazul unui produs tehnologic. Operatorul de date care folosește produsul (hardware sau software) își va realiza propria DPIA, dar în același timp poate fi informat cu privire la DPIA pregătită de către furnizorul de produse. 

Când nu este obligatorie efectuarea analizei DPIA?

Există mai multe situații în care analiza DPIA nu este obligatorie, după cum urmează: 

• Atunci când prelucrarea nu este susceptibilă de a genera un risc ridicat pentru libertățile și drepturile persoanelor fizice;
• Atunci când obiectivul, natura, contextul și scopul prelucrării sunt similare cu altă prelucrare pentru care s-a realizat DPIA. În acest caz poate fi utilizat rezultatul DPIA pentru prelucrarea similară;
• Atunci când operațiunile de prelucrare deja au fost verificate de autoritatea de supraveghere anterior datei de mai 2018, dar doar dacă au existat condiții specifice și aceste condiții nu au suferit modificări;
• Atunci când operațiunea de prelucrare se bazează pe un temei juridic în dreptul Uniunii sau al unui stat care face parte din Uniune, iar acel drept reglementează deja operațiunea de prelucrare și deja a fost efectuată o DPIA pentru adoptarea respectivului temei juridic. Excepție face situația în care statul membru a declarat deja că este necesară efectuarea DPIA înainte de a desfășura activitățile de prelucrare; 
• Atunci când prelucrarea a fost inclusă pe lista opțională, listă stabilită de către autoritatea de supraveghere, pentru care nu este necesară DPIA. 

Cum se realizează analiza DPIA?

Iată care sunt cele mai importante aspecte pe care să le iei în calcul în cadrul acestui proces:

Cine este responsabil pentru realizarea unei DPIA?

Decizia de realizare a analizei DPIA este in responsabilitatea echipe de conducere a companiei, pe baza recomandărilor primite de la DPO sau consultantul in protectia datelor.

Întrucât o astfel de evaluare presupune un proces complex de interpretare a activității supuse analizei, este recomandat ca organizațiile să lucreze cu experți în domeniul protectiei datelor personale.

In ce moment se realizează?

DPIA este un instrument esențial în luarea deciziilor cu privire la prelucrările care prezintă un risc ridicat, motiv pentru care aceasta evaluare trebuie realizată anterior prelucrării respective, în stadiul de proiectare sau chiar și atunci când unele dintre operațiile de prelucrare sunt încă necunoscute. 

Este important să reținem că realizarea unei DPIA nu este un exercițiu unic ci un proces continuu, astfel că aceasta trebuie actualizată pe parcursul întregului ciclu de viață al prelucrării respective.

Care sunt principalele etape?

Principalele etape ale unei analize DPIA cuprind:

• Descrierea prelucrării preconizate;
• Evaluarea necesității și proporționalității;
• Evaluarea riscurilor pentru libertățile și drepturile persoanelor în cauză;
• Descrierea măsurilor preconizate pentru a aborda riscurile și demonstrarea conformității cu regulamentul GDPR. 

Desigur, la final va fi nevoie și de o etapă de documentare, dar și de una de monitorizare și revizuire.

Ce include o DPIA?

Deși, la o prima vedere, procesul de evaluarea impactului asupra protecției datelor nu pare a fi unul foarte dificil, în realitate o DPIA implica un efort comun și susținut în special al managerilor departamentelor companiei, cu sprijinul Responsabilului cu protecția datelor și a responsabilului cu securitatea informațiilor (Chief Information Security Officer).

De asemenea, efectuarea DPIA mai poate implica și avizului din partea experților independenți din diferite profesii (avocați, experți IT, experți în securitate, sociologi, etică etc.) sau a persoanei împuternicite de operator (acolo unde operatori împuterniciți iau parte la prelucrare).

Nu există un cadru general aplicabil pentru realizarea DPIA. Este responsabilitatea operatorul de date să aleagă o metodologie pe care să fie cladita DPIA, însă aceasta trebuie să vizeze criteriile comune identificate în cadrele publicate anterior, elaborate de autoritățile de supraveghere din UE și cadrele specifice sectorului în care activează.

Sancțiuni pentru nerespectarea cerințelor privind DPIA

Nerealizarea unei DPIA atunci când prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice poate fi sancționată cu până la 10 milioane de euro sau până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare.

Mai mult, aceleași sancțiuni pot fi aplicate și pentru realizarea unei evaluări a impactului asupra protecției datelor într-un mod incorect sau lipsa consultării cu autoritatea atunci când DPIA dezvăluie riscuri reziduale ridicate.

Daca treci printr-un proces de DPIA si ai nevoie de expertiza, echipa noastra iti pune la dispoziție experienta dobandita in ultimii 8 ani pentru a te ghida in procesul de realizare a evaluarii de tip DPIA. Scrie-ne la pagina de contact si hai sa discutam la o cafea.