Analiza DPIA - GDPR

Services Icon

Ce este evaluarea impactului asupra protecției datelor? 

Evaluarea impactului asupra protecției datelor, cunoscută sub acronimul DPIA (Data Protection Impact Assessment), reprezintă un proces pentru construirea și demonstrarea conformității, prevăzut la art. 35 din Regulamentul General privind Protecția Datelor (GDPR). 

Aceasta evaluare este necesara în special în cazul proiectării unor noi soluții tehnologice sau organizaționale, a căror funcționalități ar implica prelucrarea de date cu caracter personal. 

De ce este necesară DPIA?

Rolul evaluării impactului asupra protecției datelor este de a descrie prelucrarea și de a evalua necesitatea și proporționalitatea acesteia. DPIA este un element esențial al procesului de gestionarea riscurilor la adresa drepturilor și libertăților persoanelor rezultate din prelucrarea datelor personale, prin evaluarea acestora și stabilirea de măsuri pentru atenuarea lor. 

DPIA reprezintă un instrument important pentru responsabilizare, prin intermediul căruia operatorii pot să demonstreze întreprinderea măsurilor adecvate pentru a asigura conformitatea cu GDPR.

Sancțiuni pentru nerespectarea cerințelor privind DPIA

Nerealizarea unei DPIA atunci când prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice poate fi sancționată cu până la 10 milioane de euro sau până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare.

Mai mult, aceleași sancțiuni pot fi aplicate și pentru realizarea unei evaluări a impactului asupra protecției datelor într-un mod incorect sau lipsa consultării cu autoritatea atunci când DPIA dezvăluie riscuri reziduale ridicate.

Când este obligatorie DPIA?

O listă cu 7 situații în care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal a fost a întocmita și publicata de Autoritatea națională de supraveghere prin Decizia nr.174.2018

Aceasta listă nu este însă exhaustivă! Evaluarea impactului asupra protecției datelor este necesară și în cazul în care o prelucrare de date, deși nu se regăsește în acea lista, este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice.

Când se realizează o DPIA?

DPIA este un instrument esențial în luarea deciziilor cu privire la prelucrările care prezintă un risc ridicat, motiv pentru care aceasta evaluare trebuie realizată anterior prelucrării respective, în stadiul de proiectare sau chiar și atunci când unele dintre operațiile de prelucrare sunt încă necunoscute. 

Este important să reținem că realizarea unei DPIA nu este un exercițiu unic ci un proces continuu, astfel că aceasta trebuie actualizată pe parcursul întregului ciclu de viață al prelucrării respective.

Ce include o DPIA?

Potrivit art. 35 (7) și a Considerentelor 84 și 90), DPIA trebuie să includă:

  • descrierea operațiunilor de prelucrare preconizate și scopurilor prelucrării;
  • evaluarea necesității și proporționalității prelucrării;
  • evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate;
  • măsurile preconizate în vederea: 
    • abordării riscurilor;
    • demonstrării conformității cu dispozițiile GDPR.

Deși, la o prima vedere, procesul de evaluarea impactului asupra protecției datelor nu pare a fi unul foarte dificil, în realitate o DPIA implica un efort comun și susținut în special al managerilor departamentelor companiei, cu sprijinul Responsabilului cu protecția datelor și a responsabilului cu securitatea informațiilor (Chief Information Security Officer).

De asemenea, efectuarea DPIA mai poate implica și avizului din partea experților independenți din diferite profesii (avocați, experți IT, experți în securitate, sociologi, etică etc.) sau a persoanei împuternicite de operator (acolo unde operatori împuterniciți iau parte la prelucrare).

Nu există un cadru general aplicabil pentru realizarea DPIA. Este responsabilitatea operatorul de date să aleagă o metodologie pe care să fie cladita DPIA, însă aceasta trebuie să vizeze criteriile comune identificate în cadrele publicate anterior, elaborate de autoritățile de supraveghere din UE și cadrele specifice sectorului în care activează. 

Cine este responsabil pentru realizarea unei DPIA?

Decizia de realizare a analizei DPIA este in responsabilitatea echipe de conducere a companiei, pe baza recomandărilor primite de la DPO sau consultantul in protectia datelor.

Întrucât o astfel de evaluare presupune un proces complex de interpretare a activității supuse analizei, este recomandat ca organizațiile să lucreze cu experți în domeniul protectiei datelor personale.

 

Daca treci printr-un proces de DPIA si ai nevoie de expertiza, echipa noastra iti pune la dispoziție experienta dobandita in ultimii 8 ani pentru a te ghida in procesul de realizare a evaluarii de tip DPIA. Scrie-ne la pagina de contact si hai sa discutam la o cafea.

Top servicii

TESTIMONIALE

Divider

PUNE O INTREBARE