GDPR-Evaluarea impactului privind protecția datelor- DPIA


Evaluarea impactului privind protecția datelor este bine a se face atunci când prelucrarea este „susceptibilă să genereze un risc ridicat”.

GDPR nu impune efectuarea unei DPIA  pentru fiecare operațiune de prelucrare care poate conduce la riscuri pentru drepturile și libertățile persoanelor fizice.

Executarea unei DPIA este obligatorie numai atunci când prelucrarea este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Este deosebit de relevantă atunci când se introduce o nouă tehnologie de prelucrare a datelor.

Exemple când o operațiune de prelucrare este „susceptibilă să genereze riscuri ridicate”:
1.  evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice,
care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor
decizii care produc efecte juridice privind persoana fizică;
2.  prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;
3.  monitorizare sistematică pe cară largă a unei zone accesibile publicului”.

Când vorbim de operațiuni de prelucrare „susceptibile să conducă la un risc ridicat” trebuie luate în considerare următoarele nouă criterii:

1. Evaluarea sau scoring, inclusiv profilarea și preconizarea, în special din „aspecte privind
performanța persoanei vizate la locul de muncă, situația economică, starea de sănătatea,
preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările”.

Exemplu 

  • o instituție financiară care își monitorizează clienții printr-o bază de date de tip credit sau printr-o bază de date destinată spălării banilor sau combaterea finanțării terorismului sau a unei baze de date împotriva fraudei sau a unei companii de biotehnologie care oferă teste genetice direct consumatorilor pentru a evalua și prezice riscurile pentru boală/sănătate sau pentru a crea un profil de comportament sau de marketing bazat pe utilizarea sau navigarea pe site-ul său web.

2. Proces decizional automatizat cu efecte legale sau similare semnificative: prelucrare care vizează luarea deciziilor asupra persoanelor vizate care produc „efecte juridice privind persoana fizică” sau care „o afectează în mod similar într-o măsură semnificativă”.

Exemplu

  •   prelucrarea poate conduce la excluderea sau discriminarea persoanelor. Prelucrarea cu efect redus sau fără efect asupra persoanelor nu corespunde acestui criteriu specific.

3. Monitorizare sistematică: prelucrare folosită pentru a observa, monitoriza sau controla persoanele vizate, incluzând colectarea de data prin rețele sau „monitorizarea sistematică a unei zone accesibile publicului”.

4. Date sensibile sau date de natură foarte personală: acestea includ categorii speciale de date cu caracter personal  (spre exemplu informații privind opiniile politice al persoanelor fizice), precum și date cu caracter personal privind condamnările penale sau infracțuni.

Exemplu ar fi un spital general care păstrează dosarele medicale ale pacienților sau un anchetator privat care păstrează detaliile infractorilor.

5. Date prelucrate pe scară largă

Deși GDPR nu definește prelucrarea pe scară largă s-ar putea considera că o prelucrare este efectuată pe scară largă dacă:
a. numărul persoanelor vizate, ori un număr exact ori un procent din populația relevantă;
b. volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
c. durata sau permanența activității de prelucrare a datelor;
d. suprafața geografică a activității de prelucrare.

6. Potrivirea sau combinarea seturilor de date, spre exemplu, provenind de la două sau mai multe operațiuni de prelucrare a datelor efectuate în scopuri diferite și/sau de diverși operatori de date într-un mod care ar depăși așteptările rezonabile ale persoanei vizate.

7. Date privind persoanele vizate vulnerabile  prelucrarea acestui tip de date este un criteriu din cauza dezechilibrului de putere crescut între persoanele vizate și operatorul de date, ceea ce înseamnă că persoanele ar putea să nu fie în stare să își dea cu ușurință consimțământul
sau să se opună prelucrării datelor lor sau să își exercite drepturile. Persoanele vizate vulnerabile
pot include copiii (pot fi considerați incapabili să se opună sau să consimtă sau să se opună în mod deliberat la prelucrarea datelor lor), angajați, segmente mai vulnerabile ale populației care necesită protecție specială (persoane bolnave, solicitanți de azil sau vârstnici, pacienți etc.) și, în orice caz poate fi identificat un dezechilibru în relația dintre poziția persoanei vizate și operator.

8. Utilizare inovatoare sau implementarea unor noi soluții tehnologice sau organizaționale cum ar fi combinarea utilizării amprentei digitale cu recunoașterea facială pentru îmbunătățirea controlului accesului fizic etc.

Exemplu

  • anumite aplicații „Internet of Things” ar putea avea un impact semnificativ asupra vieții cotidinene și a vieții private a persoanelor fizice; și, prin urmare, necesită o DPIA.

9. Prelucrarea în sine „împiedică persoanele fizice să-și exercite un drept sau să utilizeze un serviciu sau un contract”. Acestea includ operațiuni de prelucrare care vizează permiterea, modificarea sau refuzarea accesului persoanelor fizice la un serviciu încheierea unui contract.

Exemplu

  •   când o bancă își verifică clienții prin compararea cu o bază de date referitoare la credit pentru a decide acordarea unui împrumut.

În majoritatea cazurilor, un operator de date poate considera că o prelucrare ce îndeplinește 2 criterii ar necesita realizarea unei DPIA.

conform referinței:

Ghid privind Evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o
prelucrare este „susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679