Atunci când lucrezi cu date cu caracter personal, va trebui să te asiguri că nu încalci legea privind protecția acestora. În special atunci când se proiectează soluții tehnologice sau organizaționale care implică prelucrarea de date cu caracter personal ai nevoie de evaluarea denumită DPIA.
Ce trebuie să știi despre DPIA?
Pentru început este important să știi că evaluarea de impact cunoscută sub denumirea de DPIA vine de fapt de la „Data Protection Impact Assessment”. Mai mult, aceasta reprezintă un proces extrem de bine reglementat de construire și mai ales, de demonstrare a conformității.
Care este scopul DPIA?
Evaluarea de impact are drept scop atât gestionarea, cât și prevenirea riscurilor asupra persoanei vizate. Mai mult, efectuarea acesteia va confirma sau va infirma conformitatea la regulile impuse de GDPR. Pentru a nu primi sancțiuni privind GDPR-ul, operatorul va efectua acest tip de evaluare a datelor.
De ce ai nevoie de o evaluare de impact?
Evaluarea de impact sau DPIA are rolul de a evalua impactul asupra datelor tale, descrierii prelucrării și evaluării necesității și proporționalității datelor.
Atunci când vine vorba de drepturile și libertățile persoanelor implicate, este esențial ca în urma prelucrării datelor personale, să se efectueze analiza DPIA. Aceasta reprezintă elementul central al gestionării riscurilor aferente. Prin intermediul său se vor evalua amenințările existente și se vor stabili anumite măsuri pentru a le reduce.
Putem spune că DPIA este un instrument foarte important care oferă un anumit grad de responsabilizare deoarece prin intermediul acestui tip de evaluare, operatorii pot demonstra de ce au fost inițiate anumite măsuri pentru ca regulile GDPR-ului să fie respectate.
Sancțiuni aplicabile în cazul nerespectării cerințelor privind DPIA
Dacă prelucrarea datelor va efectua având riscuri ridicate și astfel li se vor încălca drepturile și libertățile persoanelor fizice în cazul lipsei unei DPIA se pot aplica sancțiuni care pot ajunge până la 10 milioane de euro. De asemenea, sancțiunile mai pot fi aplicate în valoare de maxim 2% din cifra de afaceri globală anuală.
De asemenea, aceleași sancțiuni vor fi aplicate și în cazul în care DPIA va fi efectuat într-un mod eronat sau atunci când nu există consultanță cu autoritatea în momentul în care evaluarea prezintă anumite riscuri de mari proporții.
Este obligatorie o evaluare de impact?
Autoritatea Națională de Supraveghere a întocmit și a publicat prin intermediul Deciziei nr.174.2018 o listă în care sunt prezentate 7 situații în care evaluarea de impact devine obligatorie.
Aceasta va fi necesară chiar și atunci când prelucrarea datelor nu se regăsește menționată specific pe acea listă, dar poate fi cauza unui risc ridicat în ceea ce privește atât drepturile, cât și libertățile tuturor persoanelor fizice implicate.
Când trebuie să realizezi o evaluare de impact?
Această evaluare a riscurilor datelor este de fapt instrumentul de bază al unui manager deoarece te poate ajuta să iei cele mai potrivite decizii în situațiile în care prelucrarea implică riscuri importante. De aceea, este recomandat ca această evaluare să fie efectuată anterior prelucrării, când proiectul se află încă la faza de proiectare. O altă sugestie ar fi să fie realizată când nu se cunosc anumite operații.
Ce include pe scurt o evaluare de impact?
Conform art. 35 (7) și Considerentelor 84 și 90, o evaluare de impact trebuie să includă:
- descrierea operațiunilor de prelucrare care au fost preconizate și în special a scopurilor prelucrării;
- evaluarea necesității și proporționalității prelucrării;
- evaluarea riscurilor privitoare atât la drepturile, cât și la libertățile persoanelor vizate;
- măsurile preconizate în vederea:
- abordării riscurilor;
- demonstrării conformității cu dispozițiile GDPR.
Cine este responsabil de efectuarea evaluării de impact?
În baza unor recomandări oferite de DPO (Data Protection Officer) și consultantul care se va ocupa de protecția datelor, echipa de conducere a firmei va trebui să ia decizia de realizare a unei evaluări de impact.
Având în vedere că DPIA este un proces complex care necesită atenție și expertiză, este recomandat ca firmele să lucreze doar cu experți care activează în domeniul protecției de date personale.
Concluzionând, atunci când trebuie să prelucrezi date personale, este recomandat să efectuezi evaluarea de impact pentru a avea o imagine mai clară și aprofundată asupra riscurilor, dar și pentru a-ți desfășura activitatea în deplină legalitate.
