AU MAI RĂMAS 227 de zile!

Una dintre practicile recomandate pentru evaluarea riscurilor și impactului pe care îl poate avea procesarea datelor personale în anumite condiții, este efectuarea unui studiu de impact asupra protecției sau confidențialității datelor, cunoscut sub denumirea generică de DPIA (Data Protection Impact Assessment) sau mai popular PIA (Privacy Impact Assessment).

Iată-ne ajunși la cel de-al 10-lea ”episod” din seria de articole GDPR Explicitat. După ce în articolul precedent am prezentat și comentat responsabilitatea și guvernanța în viziunea GDPR, în acest articolul ne ocupăm de evaluarea impactului pentru protecția datelor.

Ce este Data Protection Impact Assessment (DPIA)

Cum protecția datelor trebuie gândită acum ”by design”, fiind proiectată în mod implicit odată cu sistemele de procesare, pot apărea o multitudine de situații în care se recomandă evaluarea de impact asupra protecției datelor. O bună practică pentru noile tehnologii și procese este de a evalua dacă prelucrarea are un “risc ridicat”, dacă  aduce atingere drepturilor persoanelor vizate și dacă acest risc poate fi redus sau evitat, de exemplu prin pseudonimizare. Evaluările de impact sunt absolut necesare în cazul în care există o prelucrare automată și prelucrarea unor categorii speciale de date pe scară largă.

Evaluarea impactului privind protecția datelor (DPIA) – în versiunea mai populară mai des folosit ca Privacy Impact Assesment (PIA), reprezintă un instrument care poate ajuta organizațiile să identifice cea mai eficientă modalitate de a se conforma obligațiilor lor privind protecția datelor și de a răspunde așteptărilor individuale de confidențialitate. O evaluare de impact eficientă va permite organizațiilor să identifice și să remedieze problemele într-un stadiu incipient, reducând riscurile, costurile asociate și deteriorarea reputației, legată de apariția oricărui incident.

Evaluarea DPIA este parte integrantă a proiectării unei abordări privind confidențialitatea prin design. Punctele cheie ale unei astfel de evaluări sunt:

• DPIA este un proces care ajută organizațiile să identifice și să minimizeze riscurile de confidențialitate ale proiectelor sau politicilor noi;
• Efectuarea unei evaluări de impact implică lucrul cu oamenii din organizație, dar și cu partenerii, pentru a identifica și a reduce riscurile de confidențialitate;
• Evaluarea vă ajuta la identificarea unor potențiale probleme într-un stadiu cât mai incipient, când remedierea poate să fie mai simplă și mai puțin costisitoare;
• Realizarea unei evaluări de impact asupra confidențialității ajută organizațiile să elaboreze și să adopte cele mai bune politici de îmbunătățire a relațiilor dintre organizații și indivizi.

Când ar trebui să facem o evaluare DPIA?

În acord cu bunele practici, trebuie să efectuați o DPIA atunci când:

• utilizarea noilor tehnologii impune asumarea unui anumit grad de risc;
• prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor.

Procesarea care poate duce la un risc ridicat include, dar nu se limitează la acestea:

• activități de prelucrare sistematice și extinse, inclusiv profilarea;
• prelucrări în care deciziile care au efecte juridice – sau efecte similare, asupra persoanelor fizice;
• prelucrarea pe scară largă a unor categorii speciale de date sau date cu caracter personal în legătură cu condamnările sau infracțiunile penale.

În general, trebuie avute în vedere orice activități care includ prelucrarea unor cantități considerabile de date cu caracter personal la nivel regional, național sau supranațional, care afectează un număr mare de indivizi și care  implică un risc ridicat pentru drepturi și libertăți.

Ce informații ar trebui să conțină DPIA?

Orice evaluare de impact trebuie să conțină:

• descrierea operațiunilor de prelucrare și a scopurilor, inclusiv (dacă este cazul) a intereselor legitime urmărite de operator;
• evaluarea necesității și proporționalității procesării în raport cu scopul;
• evaluarea riscurilor pentru persoane fizice;
• măsurile luate pentru a reduce riscul, inclusiv securitatea și pentru a demonstra că vă conformați;
• numărul proiectelor similare care pot fi vizate de aceeași evaluare.

Beneficiile unei evaluări de impact asupra protecției datelor

Realizarea unei evaluări de impact pentru protecția datelor nu este o obligație a persoanei desemnate ca DPO. Acesta este o activitate de echipă, cu participanți din toate liniile de business. DPO poate coordona procesul de evaluare, poate face recomandări și trebuie să asigure alinierea la cerințele de conformitate. După elaborare, rolul DPO este acela de a ajuta organizația să folosească evaluarea de impact ca pe un instrument de conformare cu protecția datelor personale.

Chiar dacă efectuarea unui studiu de impact nu este o cerință legală, în anumite conjuncturi, autoritatea națională sau teritorială de supraveghere poate adresa o cerere oricărei organizații să realizeze o evaluare DPIA. Totodată, o evaluare de impact PIA, poate fi modul cel mai eficient pentru o organizație de a demonstra autorității de supraveghere modul în care prelucrarea datelor personale respectă cerințele de securitate și confidențialitate. În același timp, posesorii datelor personale pot fi asigurați că organizațiile care procesează informațiile lor urmează cele mai bune practici de securitate și confidențialitate. Un proiect care a fost supus unei evaluări PIA ar trebui să fie garantat ca un proces care are cele mai puțin ridicate riscuri de afectare intruzivă a datelor personale.

Un al doilea beneficiu pentru persoanele fizice este acela că PIA ar trebui să se asigure transparența în procesul de comunicare și de cunoaștere a modului în care sunt utilizate informațiile personale. Realizarea și publicarea unui raport de evaluare PIA va ajuta orice organizație să construiască relații de încredere cu oamenii care folosesc serviciile lor. Acțiunile întreprinse în timpul și după ce procesul de evaluare pot îmbunătăți experiența organizațiilor în relațiile de înțelegere cu clienții lor.

Nu trebuie desconsiderate beneficiile financiare pe care le poate aduce efectuarea unei evaluări de impact. Orice identificarea a unei probleme, într-o fază cât mai timpurie, va necesita o soluție mai puțin costisitoare. O evaluare de impact poate reduce, de asemenea, costurile unui proiect, prin minimizarea cantității de informații colectate, procesate și stocate.

În general, utilizarea consistentă a unei evaluări de impact va spori gradul de conștientizare a problemelor de confidențialitate și de protecție a datelor în cadrul unei organizații. Asta ne asigură că toți cei implicați în procesul de prelucrare sunt conștienți de importanța înțelegerii și păstrării acestor norme, încă din primele etape ale unui proiect.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de condițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

• ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?”
• ”GDPR Prima sursa de informare Portalul UE”
• ”The Disruptive Effect of GDPR”
• ”GDPR explicitat (1): Cine se va supune noului regulament și Unde?”
• ”GDPR explicitat (2): Ce sunt datele personale?”
• ”GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților”
• ”GDPR explicitat (4): Verificați legalitatea prelucrării și obțineți Consimțământul”
• ”GDPR explicitat (5): Dreptul de a fi informat si Ce informații trebuie trimise”
• ”GDPR explicitat (6): Dreptul de acces, rectificare, ștergere sau restricționare”
• ”GDPR explicitat (7): Dreptul la portabilitatea datelor, obiecții și luarea automată a deciziilor”
• ”GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune”
• ”GDPR explicitat (9): Data protection by design and by default”
• ”Cele mai frecvente întrebări și răspunsuri despre GDPR”