GDPR: Cand e obligatorie efectuarea unei evaluări de impact?

Iată că timpul s-a scurs cu pași repezi și a mai ramas mai puțin de o lună până la “Ziua Z”, adică 25 Mai 2018, atunci când va intra în vigoare noul Regulament General Privind Protecția Datelor.

Din multitudinea de aspecte care ne-au dat bătăi de cap, consultând, analizând, traducând, conspectând și tocind zeci de highlight-ere pe paginile printate ale Regulamentului, astăzi am hotărât să aducem în discuție necesitatea efectuării unei evaluări de impact.

Evaluarea de impact privind protecția datelor (DPIA- Data Protection Impact Assessment, sub denumirea care se regasește în Regulament), nu are o definiție anume, dar conținutul acesteia este prevăzut de art. 35(7) din GDPR, în sensul că acesta trebuie să conțină cel puțin:

  • o descriere sistematică a operațiunilor de prelucrare și a scopurilor prelucrării;
  • o evaluare a necesității prelucrarii datelor;
  • o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate;
  • măsurile luate pentru a reduce riscul;
  • numărul proiectelor similare care pot fi cuprinse in aceeași evaluare.

DPIA este necesară în cazul în care un tip de prelucrare generează un risc ridicat pentru drepturile și libertățile persoanelor fizice. 

Implementează GDPR și evită amenzile! 

 

Ca și exemple de prelucrări care pot genera un risc ridicat, putem menționa:

  • Evaluarea sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, (ex: profilarea);
  • Prelucrarea pe scară largă a unor date sensibile;
  • Monitorizarea sistematica pe scară largă a unei zone accesibile publicului;
  • Datele privind persoanele vulnerabile aflate într-o poziție de dezechilibru (ex: copii, anumiți angajați, persoane bolnave psihic, solicitanți de azil sau pacienți vârstnici);
  • Prelucrarea pe scară largă a unor date în legătură cu condamnările sau infracțiunile penale;
  • Utilizarea noilor tehnologii (acces pe bază de amprentă (fingerprint) sau scanare retină, tehnologii smart, etc.);
  • Instrumente de monitorizare a angajaților care sunt folosite in evaluare;
  • Testările psihometrice.

Se recomandă ca DPIA sa fie realizată inaintea începerii prelucrării datelor cu caracter personal, să fie revizuită periodic (Grupul de lucru 29 recomandă revizuirea la 3 ani sau mai puțin), în special dacă apar modificări cu privire la riscuri sau condiții.

Este posibil ca la nivel european să se dezvolte următoarele:

  • o listă comună a Uniunii Europene a operațiunilor de prelucrare pentru care este obligatorie o DPIA si una pentru care nu este necesară o DPIA;
  • criterii comune privind metodologia de punere în aplicare a unei DPIA;
  • criterii comune pentru a preciza cand trebuie onsultată autoritatea de supraveghere;
  • recomandări, acolo unde este posibil, pe baza experienței dobândite în statele membre ale UE.

Responsabilitatea efectuării DPIA aparține operatorului și, de asemenea, este obligatorie consultarea unui DPO (Data Protection Officer), iar acolo unde este cazul, trebuie solicitată opinia persoanelor cu o pregatire specifica (ex.: avocați, IT-iști, personal HR, etc.).

Concluzionând, putem spune că DPIA este o parte esențială a respectării Regulamentului în cazul în care este planificată prelucrarea datelor cu risc ridicat sau aceasta are loc deja.

Astfel, o evaluare a impactului poate reduce anumite costuri în desfășurarea activității unei companii și are ca rol minimizarea riscurilor în ceea ce privește prelucrarea datelor cu caracter personal.

 

Mirela Niculae

Consilier juridic-Coordonator Dep. Juridic

ALTE ARTICOLE

Vrei să primești articolele noastre direct pe mail?

Abonează-te, e gratuit!