Te-ai întrebat vreodată ce este o evaluare de impact în domeniul protecției datelor cu caracter personal și când ești obligat să o efectuezi? Acest articol urmărește să îți explice când trebuie întocmită această evaluare de impact și cum se întocmește, pas cu pas. Regulamentul General privind Protecția Datelor (GDPR) (Regulamentul UE nr. 679/2016) se aplică în România începând cu luna mai 2018. Pentru neconformare, amenda maximă prevăzută de lege este de 4% din cifra de afaceri anuală globală. În plus față de sancțiunea amenzii contravenționale, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate impune și măsuri corective (e.g., interzicerea activității de prelucrare), iar persoanele vizate prejudiciate au dreptul de a se adresa justiției pentru recuperarea oricăror prejudicii cauzate din nerespectarea GDPR. Toate companiile care prelucrează date cu caracter personal trebuie să se alinieze la prevederile GDPR și să demonstreze conformitatea prin întocmirea unor proceduri documentate (note de informare, politici de confidențialitate, formulare de consimțământ, politici de securitate, etc). În unele situații este obligatorie efectuarea unei proceduri specifice: evaluarea impactului asupra protecției datelor cu caracter personal (Data Protection Impact Assessment – DPIA). Această procedură joacă un rol esențial în conformitatea cu GDPR deoarece ajută organizațiile să identifice ce riscuri are prelucrarea unor date personale pentru persoanele fizice, care este gradul de risc și ce măsuri trebuie implementate pentru a minimiza aceste riscuri.
Acest articol își propune să prezinte când este obligatorie efectuarea unei DPIA și cum se întocmește concret această procedură.
Din aceeași serie de articole:
Când este obligatorie efectuarea unei DPIA?
Art. 35 din GDPR prevede că efectuarea unei DPIA este obligatorie atunci când o activitate de prelucrare a datelor poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice. Cu alte cuvinte, nu suntem obligați să efectuăm o evaluare de impact întotdeauna, ci doar în situațiile în care există un risc real sau potențial cu privire la drepturile și libertățile persoanelor fizice. GDPR oferă, la art. 35 alin. (3), într-o manieră foarte abstractă, trei exemple de cazuri în care este necesară efectuarea unei DPIA, respectiv:
a) în cazul unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă.
Aici sunt incluse scorurile de credit bancar, sistemele automate de selecție a angajaților, algoritmi de evaluare al riscului în domeniul asigurărilor, etc.
b) în cazul prelucrării pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.
Aici sunt incluse sistemele medicale electronice, baze de date naționale cu condamnări penale, prelucrarea pe scară largă a datelor medicale prelucrate în cadrul companiilor de asigurări, tehnologii de identificare biometrică pe scară largă a clienților, angajaților sau vizitatorilor unei locații.
c) în cazul unei monitorizări sistematice pe scară largă a unei zone accesibile publicului (piețe, supermarketuri, parcuri, autostrăzi etc).
Aceste cazuri sunt exemplificative. Prin Decizia nr. 174/2018, Autoritatea de supraveghere din România (ANSPDCP) a oferit alte exemple de situații în care efectuarea unei DPIA este obligatorie. Printre aceste situații se numără supravegherea video în centre comerciale, stadioane, pieţe, parcuri sau alte asemenea spaţii, prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor şi ale angajaţilor, prin mijloace automate de monitorizare şi/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfăşurării activităţilor de reclamă, marketing şi publicitate, prelucrarea datelor prin tehnologii de recunoaștere facială, prelucrarea datelor prin sisteme de urmărire GPS a angajaților, prelucrarea datelor prin aplicaţii “Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, oraşe inteligente sau alte asemenea aplicaţii.
Cum se întocmește o evaluare de impact (DPIA)?
Procesul de întocmire a DPIA cuprinde patru pași, respectiv (1) Descrierea activității de prelucrare a datelor; (2) Evaluarea necesității și proporționalității; (3) Identificarea și evaluarea riscurilor și (4) Stabilirea măsurilor de atenuare.
Pasul (1) – Descrierea activității de prelucrare
Acest pas trebuie să includă tipurile de date prelucrate, inclusiv datele cu caracter special (date privind sănătatea, biometrice, date privind etnia, etc), fluxurile de date, inclusiv transferurile de date în afara Spațiului Economic European, scopurile prelucrării datelor și orice alte informații relevante privind respectiva activitate de prelucrare.
Pasul (2) – Evaluarea necesității și proporționalității
Activitatea de prelucrare a datelor trebuie să fie necesară pentru atingerea scopurilor. Dacă activitatea nu este necesară, iar scopurile pot fi atinse prin mijloace mai puțin intruzive în viața privată a persoanelor vizate, atunci activitatea de prelucrare a datelor va fi ilegală.
Exemplu #1: Prelucrare care nu este necesară O companie dorește să introducă un soft IA de recunoașterea facială a angajaților în vederea realizării pontajului. Atât timp cât scopul (efectuarea pontajului) poate fi atins și prin mijloace mai puțin intruzive în dreptul la viață privată a angajaților (de exemplu, cartele de acces), activitatea de prelucrare (recunoașterea facială prin prelucrarea datelor biometrice) nu va fi necesară și, drept urmare, nu va fi nici legală conform GDPR[1].
Prelucrarea datelor trebuie să fie și proporțională cu scopurile. Practic, proporționalitatea înseamnă că nu pot fi prelucrate mai multe date decât sunt necesare pentru atingerea scopurilor.
Exemplul #2: Prelucrare disproporționată. O firmă de recrutare solicită candidaților să completeze un chestionar detaliat care include întrebări despre orientarea sexuală, convingerile religioase și opiniile politice. Colectarea acestor date sensibile este disproporționată în raport cu scopul urmărit (evaluarea competențelor profesionale). Aceste date nu sunt relevante și nici necesare pentru a evalua competențele profesionale ale candidaților. Drept urmare, prelucrarea va fi disproporționată.
Ce se întâmplă dacă, atunci când efectuăm o evaluare de impact, descoperim că prelucrarea nu este proporțională? Într-o asemenea situație trebuie să luăm măsuri pentru a remedia problema disporționalității. În exemplul anterior, organizația poate remedia disproporționalitatea prin eliminarea practicii de colectare a datelor care nu sunt relevante, dar sunt extrem de sensibile (întrebări despre orientarea sexuală, convingerile religioase și opiniile politice). În situația în care problema nu se poate rezolva printr-o măsură adecvată, procesul de prelucrare al datelor trebuie să înceteze. De exemplu, identificarea biometrică pentru accesul la o sală de sport nu poate fi remediată prin măsuri suplimentare. Atât timp cât nu există o justificare legitimă care să permită această ingerință (prelucrarea datelor biometrice ale clienților unei săli de sport), această prelucrare trebuie să înceteze deoarece nu se pot implementa măsuri alternative care să elimine problema centrală (prelucrarea unor date extrem de sensibile – datele biometrice).
Pasul (3)- Identificarea și evaluarea riscurilor
Ce este riscul? Riscul poate fi evaluat utilizând următoarea formulă:
RISC = gravitate * probabilitate
Gravitatea se referă la impactul potențial al unui risc. Cu alte cuvinte, gravitatea evaluează cât de severe ar fi efectele unui anumit risc dacă acesta s-ar materializa. Gravitatea poate fi evaluată astfel:
- Gravitate mică (mici inconveniențe pentru persoanele vizate – exemplu: divulgarea unor date obișnuite, numele și adresa de e-mail)
- Gravitate medie (impact moderat, ca de exemplu afectarea vieții private fără consecințe juridice sau financiar)
- Gravitate ridicată (impact semnificativ, cum ar fi daune financiare sau afectarea severă a reputației unor persoane fizice)
Probabilitatea se referă la șansa ca un risc să se materializeze. Probabilitatea evaluează cât de posibil este ca un anumit risc să apară în cadrul unui proces de prelucrare a datelor.
Probabilitatea poate fi evaluată astfel:
- Scăzută: Riscul este puțin probabil să apară.
- Medie: Există șanse moderate ca riscul să se materializeze.
- Ridicată: Riscul este foarte probabil să apară.
Prin înmulțirea gravității cu probabilitatea, obținem o valoare numerică sau un nivel al riscului care ajută la evaluarea generală a riscului: RISC SCĂZUT, MEDIU SAU RIDICAT.
Acest grafic explică modul de calculare al riscului.
Acest grafic explică modul de calculare al riscului pentru patru tipuri de activități: identificare biometrice, geolozalizarea angajaților, monitorizare electronică și monitorizare video.
Pasul (4) – Stabilirea măsurilor de atenuare
După ce riscurile au fost identificate, evaluate și catalogate pe niveluri, evaluarea de impact trebuie să indice măsurile care vor fi implementate pentru minimizarea acestor riscuri. Măsurile de atenuare trebuie să fie proporționale cu gravitatea riscului. Cu cât riscul este mai mare, cu atât măsurile trebuie să fie mai drastice. Măsurile pot fi tehnice (criptarea datelor, anonimizare, pseudonimizare, autentificare în doi factori, alte mecanisme de securitate, etc) sau organizatorice (instruirea personalului, politici privind restricționarea accesului la date, etc). Planul de acțiune trebuie să cuprindă lista tuturor măsurilor de atenuare, ordinea de prioritizare în funcție de gradul de risc și persoanele responsabile pentru implementare.
CONCLUZII
Efectuarea DPIA este un instrument esențial pentru asigurarea conformității cu GDPR și în gestionarea și prevenirea riscurilor legate de confidențialitatea datelor. Pe măsură ce intervin modificări în activitatea unei organizații, este posibil să fie necesară revizuirea DPIA sau să fie necesară întocmirea unei noi evaluări de impact. În cele din urmă, o evaluare de impact nu este doar o obligație legală, ci și o procedură utilă pentru eficiența unei companii în procesul de implementare al normelor GDPR. Prin organizare inteligentă și concentrare pe zonele-cheie, prioritare și cu riscuri ridicate, companiile nu vor evita doar breșele de securitate și alte probleme legale (investigații, litigii), ci vor economisi și timp și resurse. În lipsa unei DPIA bine realizate, există riscul ca o organizație să implementeze GDPR într-o modalitate haotică, fără organizare, cu un consum mare de resurse, timp și energie și cu riscul omisiunii de a implementa măsurile cu adevărat importante pentru prevenirea riscurilor cu grad ridicat.
Notă de subsol:
[1] Prelucrarea care nu este necesară nu este nici legală deoarece se încalcă principiul minimizării datelor (art. 5 alin. (1) lit. c) GDPR) care prevede că datele trebuie să fie „adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate”. În exemplul nostru cu recunoașterea facială pentru pontaj, prelucrarea datelor biometrice nu este limitată la ceea ce este necesar în raport cu scopurile prelucrării atât timp cât pontajul poate fi efectuat și prin mijloace mai puțin intruzive (e.g., cartele de acces).
!Moment de marketing:
->> Pentru șabloane DPIA editabile și alte documente și proceduri GDPR, îți recomandăm KIT-ul nostru de implementare GDPR.
->> Vrei să afli mai multe despre implementarea GDPR? Atunci înscrie-te la webinar!
->> Dorești să externalizezi implementarea GDPR către un profesionist? Atunci consultă oferta noastră de servicii de implementare GDPR & DPO!