Evaluare de impact DPIA – ghid practic – pas cu pas conform cu GDPR

Vă prezentăm în continuare o scurtă descriere a pașilor practici ce ar trebui urmați pentru a realiza o Evaluare de impact DPIA (vezi și Kit GDPR Evaluare DPIA) conform cu prevederile GDPR, potrivit recomandărilor formulate de Autoritatea de supraveghere britanică, coroborat cu precizările ANSPDCP in decizia nr. 174/2018 (ce reglementează situțiile când trebuie realizată DPIA) și precizările Grupului de lucru Articolul 29 (WP248), cu privire la efecturarea unei evaluari DPIA.

Luând în considerare cele enunțate rezumă că pentru a efectua corespunzător o Evaluare DPIA – Evaluare de Impact Asupra Protecției datelor cu caracter personal, trebuie urmați pașii de mai jos:

  1. Analiză și identificarea necesității realizareii evaluarii DPIA;
  2. Se va descrie prelucrarea;
  3. Se ia în calcul consultarea Autorității de supraveghere;
  4. Se analizează necesitatea și proporționalitatea;
  5. Se identifică și evaluează riscurile apărute;
  6. Se identifică măsuri tehnice și organizatorice care limitează riscurile;
  7. Se va documenta și înregistra rezultatele evaluari DPIA;
  8. Se va integrați rezultatele în planul de proiect de conformitate GDPR;
  9. Se reiau permanent argumentele din Evaluarea DPIA, pentru a analiza dacă apar modificări în procesarea dorită din perspectiva rezultatului acesteia.

Nu vă speriați, există GDPR și după ”DPIA”
Evaluare DPIA pentu o anumită prelucrare poate fi realizată intern sau poate fi externalizată spre companii specializate în GDPR.
Vă recomandăm consultarea unei echipe de specialiști GDPR sau utilizarea unui Kit GDPR de Evaluare DPIA pentru a vă asigura că mențineți gradul de conformitate la GDPR și respectați prevederile Deciziei 174/2018 a ANSPDCP privind efectuarea de procesări de date cu caracter personal, realizarea evaluărilor de impact cu privire la protecția și confidentialitatea acestor date. 

Comanda acum GHID PRACTIC DPIA Orientări și pași practici privind desfășurarea evaluărilor de impact asupra protecției datelor personale DPIA

NOU:  GHID PRACTIC DPIA Orientări și pași practici privind desfășurarea evaluărilor de impact asupra protecției datelor personale DPIA conform cu Regulamentul European 679/2016 (GDPR) si deciziei 174/2018 emisa de ANSPDCP  – Comanda aici

Dacă prelucrați date cu caracter personal, iar în urma prelucrării pot apărea riscuri cu un impact semnificativ pentru persoanele vizate, va trebui să desfășurați o Evaluare de impact DPIA pentru a exclude apariția unor neplăceri, plângeri, controle sancțiuni sau chiar sistarea activității sau amendă care poate ajunge până la 4% din cifra de afaceri.

Pentru a să sprijiniechipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA  (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.


Vă recomandăm consultarea unei echipe de specialiști GDPR sau utilizarea unui Kit GDPR de Evaluare DPIA pentru a vă asigura că mențineți gradul de conformitate la GDPR și respectați prevederile Deciziei 174/2018 a ANSPDCP prinnd efectuarea de procesări de date cu caracter personal și realizarea evalărilor de impact cu privire la protecția și confidentialitatea acestor date. 

Confuzia dintre Evaluarea DPIA și alte evaluări

Pentru că, realitatea din România cu privire la protecția datelor cu caracter personal și lucrul sistematic este de fapt la nivel de pionierat, chiar dacă au trecut 30 de ani și am fost invadați de multinaționale, la noi, când apre o cerință legislativă nouă, tendința este de a ignora sau de a utiliza ceva asemănător din trecut.

Din acest motiv EVALUARE DE IMPACT ASUPRA PROTECTIEI DATELOR CU CARACTER PERSONAL (DPIA), în România se confundă aceste evaluările de impact din perspectiva GDPR numite DPIA cu procesele de evaluare utilizate în procesul de certificare ISO sau cu evaluările de risc la adresa securității fizice – impuse de cadrul operat prin Hotărârea Guvernului nr. 301/2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor.

O evaluare de impact DPIA, poate fi realizată urmându-se mai multe metode și tiparuri. Nu există un standard național sau european pentru realizarea de astfel de evaluări de impact și nici modele standardizate care trebuie urmate cu strictețe, în final rezumându-se la nivelul de expertiză al celor care vor realiza efectiv Evaluarea de impact DPIA.

În concluzie trebuie luat în calcul decizia 174/2018 emisă ANSPDCP cu privire la DPIA, Ghidul PW248 emis de Articolul 29 și, bineînteles, Regulamentul European 679/2017 GDPR, din care rezultă CLAR faptul că 

DPIA privită din punctul de vedere al GDPR, atunci când este efectuată este un instrument de gestionare a riscurilor privind drepturile și libertățile persoanelor fizice în cadrul procesării datelor cu caracter personal din perspectiva persoanelor fizice.

Rețineți faptul că riscurile trebuie să reflecte impactul asupra persoanelor vizate.

 

 

Când trebuie să realizăm DPIA

Conform prevederilor GPDR se prezumă obligativitatea efectuarii unei  evaluări DPIA în situațiile în care:

  • se utilizează sisteme de profilare cu efecte semnificative;
  • se procesează date cu caracter personal din categorii speciale: infracțiuni, etc;
  • se procesează date biometrice și/sau genetice;se efectuează monitorizare sistematica a locurilor publice la scară largă;
  • se implementează de noi tehnologii / procese / activități;
  • se efectuează monitorizarea comportamentului și geo-locației indivizilor;
  • se realizează profilarea minorilor în scop de marketing sau pentru servicii de marketing ce implică minori;
  • se procesează datelor cu caracter personal ce pot pune în pericol sănătatea fizică a persoanelor vizate în situația unui incident / breșe de securitate

În general , gestionarea riscurilor din alte domenii (securitatea informațiilor, securitatea fizică, etc.) se concentrează asupra companiei / instituției, nu a persoanelor fizice ale căror date aceasta le prelucrează.

Când este utilă Evaluarea de impact DPIA

Evaluarea de impact DPIA este parte integrantă a unui proces de respectare a confidențialității prin concept, Privacy by desing.

Aspectele importante care trebuie luate în considerare în cazul desfașurării unei evaluari de impact sunt:

  • Realizarea unei evaluari de imact DPIA reprezintă un proces care sprijină organizațiile să identifice și să minimizeze riscurile asupra protecției și confidențialității datelor în cadrul operatiunilor de procesare vizate;
  • Efectuarea unei evaluări de impact implică lucrul cu personalul din organizație, dar și cu terții, parteneri, furnizori, prestatori de servicii, pentru a identifica și a reduce riscurile care pot afecta protecția și confidențialitatea datelor;
  • Evaluarea DPIA conduce la identificarea unor potențiale probleme și difuncționalități încă dintr-un stadiu incipient, când este posibilă soluționare, eliminarea sau minimizarea eventualelor riscuri apărute, aspecte care se vor dovedi a fi mult mai puțin costisitoare descoperite în această fază;
  • Realizarea unei evaluări de impact asupra protecției datelor (DPIA) si asupra confidențialități acestora (PIA) va ajută organizațiae să elaboreze și să adopte cele mai bune politici, proceduri și practici de îmbunătățire a relațiilor dintre organizațe și personele vizate.

Beneficii în urma realizării unei evaluări de impact DPIA

Faptul că trebuie sau considerăm necesar realizarea unei evaluări de impact asupra protecția datelor nu trebuie privită ca o piatră de moară sau ca o acoră în desfășurarea activității organizației.

Trebuie reținut faptul că realizarea unei evaluări de impact NU cade în sarcina persoanei desemnate pe poziția de DPO Responsabil cu protecția datelor.

Atât Evaluarea DPIA, cât și PIA, sunt activități care se desfășoară în cadrul unei echipe stabilite, cu participarea personalului din toate liniile organizației implicate în procesarea vizată.

DPO este recomandat să coordoneze întreg procesul de evaluare, pentru a putea emite ulterior recomandări și pentru a se asigura de faptul ca procesarea vizată este în conformitate cu prevederile GDPR

După desfășurarea evaluării de impact, rolul DPO este acela de a oferi suport organizației pentru a utiliza evaluarea sub forma unui instrument de demonstrare a conformității la prevederile GDPR.

Chiar dacă nu este o cerință legală ca pentru fiecare procesare să fie efectuată o evaluare de impact, în anumite circumstanțe, autoritatea de supraveghere poate solicita organizației să realizeze o evaluare DPIA pentru o anumită procesare, in afara celor impuse prin decizia 174/2018 emisă de ANSPDCP.

Totodată, o evaluare de impact DPIA, poate fi un instrument foarte eficient pentru o organizație de a demonstra autorității de supraveghere modul conform în care prelucrarea datelor personale respectă cerințele de securitate și confidențialitate.

În același timp, personale vizate pot fi asigurați că organizația le va procesa informațiile acestora, implementând măsurile tehnice și organizatorice adecvate necesare, urmând cele mai bune practici de prtecție, securitate și confidențialitate.

Pentru a să sprijiniechipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA  (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.

O procesare care urmează a fi pusă în aplicare de către organizație  care a fost inițial supusă unei evaluări de imact DPIA ar trebui să garanteze că  procesul de procesare vizat va avea cele mai puțin ridicate riscuri de afectare intruzivă a protecției și confidențialității datelor personale.

Beneficii financiare în urma evaluării de impact DPIA

Nu în ultimul rând, trebuie luat în considerare aspectele financiare care relevă în urma desfășurării unei evaluari de imact.

Realizând o evaluare de imact, organizația poate identifica și optimiza din timp anumite costuri și implicații, incuzând aici și resurse utilizate pentru soluționarea unor evetuale incidente care pot fi prevenite, a unor inspecții nedorite sau a unui capital de imagine șifonat. Identificarea din ”fașă” a unei probleme, va necesita o soluție mai puțin costisitoare și poate chiar eliminată.

Realizarea unei evaluari de impact DPIA poate reduce considerabil  bugetul de desfăsurare a unui proiect, prin minimizarea cantității de informații colectate, procesate și stocate, a resurselor tehnice și a personalului implicat.

Mai multe aspecte despre situațiile Când trebuie realizată o Evaluare de impact DPIA, conform prevederilor deciziei 174/2018 a ANSPDCP regăsiți aici.

Urmareste noutatile GDPR
Acest articol a fost publicat în Informații utile și etichetat cu , , , , , , , , , , , , , . Salvează legătura permanentă.



Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu GDPR – Regulamentul European 679/2016 și dacă trebuie să externalizați un DPO sau să aveți desemnat o persoana pe pozitia de DPO Responsabil cu protectia datelor cu caracter personal, specializat ulterior prin urmarea unui  Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți aplea la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate cu un simplu click.


Pentru a să sprijini, echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.