Ce este și cum se poate face DPIA

Andrei Săvescu

I. Potrivit art. 35 alin. (1) GDRP, “având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului (DPIA – Data Protection Impact Assessment) operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal”.

Potrivit alin. (4) al aceluiași articol, Autoritatea națională de supraveghere “întocmește și publică o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor”.

Autoritatea română de supraveghere a adoptat Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 919 din 31 octombrie 2018.

Potrivit art. 1 alin. (1) din Decizie, “evaluarea impactului asupra protecției datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri:
a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b) prelucrarea pe scară largă a datelor cu caracter personal privind originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale și infracțiuni;
c) prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, piețe, parcuri sau alte asemenea spații;
d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor și ale angajaților, prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing și publicitate;
e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;
f) prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicații “Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, orașe inteligente sau alte asemenea aplicații);
g) prelucrarea pe scară largă și/sau sistematică a datelor de trafic și/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.”

II. Așadar, evaluarea impactului (DPIA) asupra protecției datelor cu caracter personal pe care o are o anumită prelucrare a acestor date este obligatorie atunci când prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. A se vedea, în acest sens, și Ghidul. În realitate, fără DPIA operatorul nu știe dacă DPIA este necesară, astfel încât DPIA este necesară mereu.

III. Dacă DPIA dezvăluie riscuri reziduale ridicate, operatorul trebuie să se consulte cu Autoritatea de supraveghere, potrivit cerințelor art. 36 alin. (1) GDPR. Dacă nu există riscuri reziduale ridicate, consultarea nu este necesară.

IV. Există două modalități de realizare a DPIA: una simplă, una extinsă. Cea simplă vizează identificarea vulnerabilităților, cea de a doua, atunci când este posibilă, realizează concomitent depistarea vulnerabilităților și tratarea lor eficientă.

V. Iată în continuare lista întrebărilor la care trebuie să răspundă DPIA. După ce operatorul, sub îndrumarea consultantului și cu avizul DPO, răspunde la întrebări, aceste întrebări se vor transforma în secțiuni ale evaluării de impact:
1. Cine realizează studiul de impact?
2. Cine avizează studiul de impact?
3. Care sunt operațiunile de prelucrare?
4. Care sunt datele cu caracter personal prelucrate?
5. Care este scopul prelucrării?
6. Care sunt modalitățile alternative de atingere a scopului?
7. Care este temeiul juridic al prelucrării?
8. Care este necesitatea prelucrării?
9. Există acordul persoanelor vizate?
10. Există împuterniciți?
11. Cum sunt definite contractual responsabilitățile împuterniciților?
12. Unde sunt stocate datele cu caracter personal colectate? (identificare precisă, detaliată)
13. Cum sunt securizate datele cu caracter personal colectate?
14. Cine este responsabil cu securitatea datelor cu caracter personal colectate?
15. Cum sunt definite contractual responsabilitățile privind securitatea datelor cu caracter personal colectate?
16. Cum se utilizează datele cu caracter personal colectate? (descrierea funcțională a utilizării datelor)
17. Care este perioada de stocare a datelor cu caracter personal colectate?
18. Care este justificarea duratei stocării?
19. Cine utilizează datele cu caracter personal colectate?
20. Cum se face ștergerea datelor cu caracter personal?
21. Cum sunt definite contractual responsabilitățile salariaților care au atribuții în privința prelucrării datele cu caracter personal?
22. Cine verifică respectarea procedurilor de colectare și utilizare a datelor cu caracter personal?
23. În ce modalitate se realizează respectarea procedurilor de colectare și utilizare a datelor cu caracter personal?
24. Cum sunt definite contractual responsabilitățile celor care verifică respectarea procedurilor de colectare și utilizare a datelor cu caracter personal?
25. Cum se face informarea persoanelor vizate cu privire la modalitățile de realizare și scopurile monitorizării video?
26. Care sunt riscurile pentru persoanele vizate?
27. Riscurile sunt proporționale cu scopul?
28. Cum sunt atenuate riscurile?
29. Există riscuri reziduale?
30. În ce formă și către cine se realizează comunicarea acestei evaluări?

Av. dr. Andrei Săvescu
Managing Partner SĂVESCU & ASOCIAȚII

Cuvinte cheie: Andrei SĂVESCU, Daniela Slapciu, DPIA, protectia datelor cu caracter personal

Vă invităm să publicaţi şi dumneavoastră pe JURIDICE.ro, detalii aici!

JURIDICE.ro foloseşte şi recomandă SmartBill şi My Justice.

Puteţi prelua gratuit în website-ul dumneavoastră fluxul de noutăţi JURIDICE.ro:
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro

Newsletter JURIDICE.ro

Am citit, am înţeles şi sunt de acord cu Politica privind protecţia datelor şi condiţiile procesatorului de newsletter Privacy Policy

Da, vreau să primesc newsletter

Abonare

Login | Nu aveti cont? Click aici pentru abonare!