Cum efectuăm evaluarea de impact (DPIA)?
GDPR Practic. Ghid. Cum efectuăm evaluarea de impact (DPIA)?
Ce este evaluarea de impact (DPIA)?
Evaluarea de impact (DPIA) este un obligație nouă impusă operatorilor de date de către GDPR, fiind obligatorie doar în situațiile în care o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele fizice vizate.
Efectuarea unei evaluări de impact are drept scopuri gestionarea și prevenirea riscurilor la adresa persoanei vizate și reprezintă o măsură pentru demonstrarea conformității la GDPR. Cu alte cuvinte, în situație în care este obligatorie efectuarea unei evaluări de impact, operatorul trebuie să demonstreze că a efectuat-o pentru a sta la adăpost de sancțiunile GDPR. Neefectuarea unei evaluări de impact, atunci când aceasta este obligatorie, poate conduce către amenzi de până la 10 milioane EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare. Poți citi aici și alte situații care pot conduce la amenzi GDPR.
Când este obligatorie efectuarea evaluării de impact?
GDPR impune operatorilor o abordare bazată pe risc. Evaluarea de impact (DPIA) nu este obligatorie în orice situație, ci doar atunci când o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele vizate. („ar putea duce la un risc ridicat petnru drepturile și libertățile persoanelor fizice” (art. 35(1) GDPR)
Următoarea figură arată principiile de bază după care trebuie să ne ghidăm pentru a afla dacă suntem obligați sau nu să realizăm o evaluare de impact.
Cu toate acestea, ANSPDCP a publicat o listă orientativă privind cazurile în care evaluarea de impact este obligatorie prin Decizia nr. 174/2018. A se remarca faptul că lista nu este exhaustivă, ci oferă doar câteva exemple unde efectuarea unei evaluări de impact este obligatorie. Această concluzie rezultă din art. 1 alin. (1) din Decizia nr. 174/2018 : „Evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri”
Totuși, chiar dacă nu ne regăsim în niciuna din situațiile din decizia ANSPDCP, este posibil să avem obligația să realizăm o evaluare de impact deoarece, așa cum am precizat deja, lista de mai sus nu este exhaustivă și pot exista situații care nu se regăsesc mai sus, dar sunt susceptibile să genereze un risc ridicat pentru persoanele fizice.
În continuare, pentru a putea identifica dacă este obligatorie sau nu realizarea unei evaluări de impact, vom analiza ce spune fostul Grup de Lucru Art. 29 (actual Comitet European pentru Protecția Datelor) despre cazurile în care evaluarea de impact (DPIA) este obligatorie.
Pentru a identifica dacă o anumită activitate de prelucrare este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”, trebuie luați în calcul mai mulți factori, dar următoarele întrebări pot fi utile în a afla dacă este necesară sau nu efectuarea unei evaluări de impact:
1.Există activități de evaluare sau scoring, inclusiv profilare sau preconizare care pot avea un impact ridicat asupra drepturilor și libertăților persoanelor vizate?
Exemple: evaluarea performanței la locul de muncă, monitorizarea clienților de către o societate de asigurări pentru a preveni frauda, monitorizarea clienților de către o bancă pentru a preconiza comportamentul viitor etc.
2.Prelucrarea poate conduce la excluderea sau discriminarea persoanelor?
3.Datele sunt sensibile sau sunt de natură foarte personală?
Datele sensibile sunt datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, datele privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate.
Date sensibile sunt și datele copiilor sub 16 ani, dar și datele privitoare la condamnări și infracțiuni.
4. Sunt datele prelucrate pe scară largă?
Pentru a identifica dacă o activitate prelucrare este efectuată pe scară largă, Grupul de Lucru Art. 29 recomandă luarea în calcul a următorilor factori:
- Numărul persoanelor vizate;
- Suprafața geografică unde se întinde activitatea de prelucrare;
- Volumul datelor;
- Durata activității de prelucrare.
5. Sunt utilizate noi tehnologii în respective activitate de prelucrare?
Exemple: amprentă digitală, recunoaștere facială, internet of things.
În principiu, pentru orice nouă tehnologie ar trebui efectuată o evaluare de impact pentru a afla impactul potential asupra drepturilor și libertăților persoanei vizate. Fiind o tehnologie nouă, este posibil ca potențialele riscuri asupra drepturilor persoanelor vizate să nu fie cunoscute în prezent.
În principiu, dacă răspunsul este „DA” la mai mult de două întrebări de mai sus, realizarea unei evaluări de impact (DPIA) este obligatorie.
PROCEDURA. CUM REALIZĂM EVALUAREA DE IMPACT (DPIA)
1. Când se realizează evaluarea de impact?
Potrivit GDPR, evaluarea de impact se realizează anterior activității de prelucrare și se actualizează pe măsură ce în procesul de prelucrare intervin noi modificări. Potrivit Grupului de Lucru Art. 29, efectuarea DPIA este un proces continuu, iar nu un exercițiu unic. Evaluarea de impact (DPIA) face parte din documentația GDPR.
2. Cine este obligat să efectueze evaluarea de impact (DPIA)?
Organizația este obligată să efectueze DPIA și o poate face cu resurse interne (ca de exemplu șabloane) sau poate externaliza acest proces unui avocat. În ambele situații, operatorul este responsabil pentru efectuarea ei. La efectuarea evaluării de impact și, îndeosebi, pe raportul final, trebuie cerut avizul responsabilului cu protecția datelor (DPO).
Dacă activitatea de prelucrare este realizată de persoana împuternicită, aceasta din urmă este obligată să participe și să sprijine concret operatorul la efectuarea evaluării de impact și să ofere toate informațiile necesare.
Operatorul este obligat să solicite avizul persoanelor vizate sau al reprezentanților acestora la efectuarea evaluării de impact. Acest aviz poate fi obținut, de exemplu, prin sondaje. Dacă nu obține avizul persoanelor vizate, operatorul ar trebui să documenteze în scris motivul pentru care a decis să nu obțină acest aviz.
Cum realizăm evaluarea de impact (DPIA)?
RGPD stabilește caracteristicile minime ale unei DPIA (art. 35 (7) și Considerentele 84 și 90):
- „o descriere a operațiunilor de prelucrare preconizate și scopurilor prelucrării ”;
- „o evaluare a necesității și proporționalității prelucrării”;
- „o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate”;
- „măsurile preconizate în vederea abordării riscurilor și demonstrării conformității cu GDPR”
Pentru gestionarea riscurilor se vor utiliza următorii pași:
- Stabilirea contextului;
- Evaluarea riscurilor (probabilitatea și gravitatea riscurilor);
- Tratarea riscurilor (măsuri propuse pentru atenuarea riscurilor).
Structura și forma concretă a unei evaluări de impact este lăsată la libera apreciere a Organizației, cu toate aceastea, ea trebuie să ilustreze o evaluare reală a riscurilor.
Când trebuie consultată Autoritatea de supraveghere?
Atunci când, din raportul DPIA rezultă că riscurile sunt ridicate și măsurile identificate nu sunt suficiente pentru a atentua riscurile, trebuie consultată Autoritatea de supraveghere. Dacă totuși riscurile sunt ridicate, însă au fost găsite măsuri care atenuează concret aceste riscuri, Autoritatea de supraveghere nu trebuie consultată.
Alte criterii pentru efectuarea corectă a unei DPIA
Metologia descrisă de Grupul de Lucru Art. 29 pentru efectuarea corectă a unei DPIA este următoarea:
- Descrierea prelucrării
- Evaluarea necesității și proporționalității
- Identificarea riscurilor
- Gestionarea riscurilor și propunerea măsurilor pentru atenuarea riscurilor
- Implicarea părților interesate (avizul DPO, avizul persoanelor vizate).