Ce este DPIA? Acronimul vine de la Data Protection Impact Assessment. Așa cum o sugerează și denumirea, DPIA este un proces destinat să descrie prelucrarea, să evalueze necesitatea și proporționalitatea acesteia și să contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate rezultate din prelucrarea datelor cu caracter personal, prin evaluarea acestora și stabilirea de măsuri pentru atenuarea lor. De asemenea este un instrument util pentru a demonstra că au fost luate măsuri adecvate pentru a asigura conformitatea cu Regulamentul.
Este obligatorie DPIA? DPIA este necesară numai atunci când prelucrarea este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice.
Este obligatorie DPIA pentru fiecare operatiune de prelucrare sau se realizează pentru un set de operațiuni similare de prelucrare? DPIA este necesară numai în cazul în care un tip de prelucrare ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice. În practică, acest lucru înseamnă că operatorii trebuie să evalueze în mod continuu riscurile create de activităților lor de prelucrare pentru a identifica monentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”. Concluzie, DPIA se poate referi doar la o singură operațiune de prelucrare (în situația în care operațiunea în cauză e susceptibilă să genereze prin ea înseși un risc ridicat), dar poate fi folosită pentru a evalua multiple operațiuni de prelucrare similare.
În ce moment trebuie efectuată DPIA? Anterior prelucrării, însă poate fi actualizată pe parcursul procesului de prelucrare și este recomandat să fie actualizată (poate fi necesară repetarea etapelor individuale ale evaluării pe măsură ce procesul de dezvoltare progresează, deoarece selectarea anumitor măsuri tehnice sau organizatorice poate afecta severitatea sau probabilitatea riscurilor generate de prelucrare). Faptul că DPIA ar trebui să fie actualizată odată ce procesul de prelucrare a început efectiv nu este un motiv valid pentru amânarea sau neaplicarea unei DPIA.
Cine are obligația să efectueze DPIA? Operatorul, împreună cu DPO și împuterniciți. Operatorul este responsabil pentru realizarea unei DPIA (art. 35 (2). DPIA poate fi realizată și de altcineva din interiorul sau exteriorul organizației, dar operatorul rămâne în cele din urmă responsabil pentru această sarcină. Astfel, dacă prelucrarea este efectuată parțial sau în totalitate de persoana împuternicită de operator, persoana împuternicită de operator va ajuta operatorul la realizarea DPIA și va oferi informațiile necesare (în conformitate cu art. 28 (3) litera f)).
Trebuie publicata DPIA? Publicarea unei DPIA nu este o cerință legală, este decizia operatorului de a face acest lucru. Cu toate acestea, operatorii ar trebui să ia în considerare cel puțin publicarea unor părți, cum ar fi un rezumat sau o concluzie a DPIA.
Când este obligatorie DPIA? Cu excepția cazului în care operațiunea de prelucrare se încadrează într-o excepție (III.B.a), trebuie să se efectueze o DPIA în cazul în care o operațiune de prelucrare este „susceptibilă să genereze un risc ridicat” (III.B.b). Exemple de operațiuni de prelucrare susceptibile să genereze un risc ridicat: (a) evaluare sistematică și cuprinzătoare a aspectelor persoanle referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind peroana fizică sau care o afectează în mod similar într-o măsură semnificativă; prelucrarea pe scară largă a unor categorii speciale de date, menționată la art. 9 (1) sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționat la art. 10; sau (c) monitorizare sistematică pe cară largă a unei zone accesibilte publicului. Trebuie avute în vedere următoarele 9 criterii pentru a determina dacă o operațiune de prelucrare este „susceptibilă să genereze un risc ridicat:
Evaluare sau scoring
Proces decizional automatizat cu efecte legale sau similare semnificative
Monitorizare sistematică
Date sensibile sau date de natură foarte personală
Date prelucrate pe scară largă
Potrivirea sau combinarea seturilor de date
Date privind persoanele vizate vulnerabile
Utilizare inovatoare sau implementarea unor noi soluții tehnologice sau organizaționale
Atunci când prelucrarea în sine „împiedică persoanele fizice să-și exercite un drept sau să utilizeze un serviciu sau un contract”
8. Când trebuie consultată autoritatea de supraveghere? Este necesară consultarea cu autoritatea de supraveghere de fiecare dată când operatorul de date nu poate găsi suficiente măsuri pentru a reduce riscurile la un nivel acceptabil (adică riscurile reziduale sunt încă ridicate), precum și în cazul în care dreptul intern impune operatorilor să consulte autoritatea de supraveghere și/sau să obțină autorizarea prealabilă din partea acesteia în ceea ce privește prelucrarea de către un operator pentru îndeplinirea unei sarcini exercitate de operator în interes public, inclusiv prelucrarea în legătură cu protecția socială și sănătatea publică.
9. Ce sunt riscurile reziduale? Un exemplu de risc rezidual ridicat inacceptabil include cazurile în care persoanele vizate pot întâmpina consecințe semnificative sau chiar ireversibile pe care nu le pot depăși (de exemplu: accesul ilegal la datele care duc la amenințarea vieții persoanelor vizate, concediere, risc financiar) și/sau când pare evident că riscul va avea loc (de exemplu: prin faptul că nu este capabil să reducă numărul de persoane care accesează datele datorită modalităților de partajare, de utilizare sau distribuție sau atunci când vulnerabilitatea bine cunoscut nu este înlăturată).