(P) GDPR: ce presupune și cum se realizează evaluarea de impact (DPIA)?

Efectuarea unei evaluări de acest tip este absolut necesară în situațiile în care o anumită activitate de prelucrare a datelor cu caracter personal prezintă un risc ridicat pentru persoanele fizice vizate.

Sancțiunile pentru nerealizarea DPIA atunci când aceasta se impune poate atrage sancțiuni enorme pentru companii, respectiv 2% din cifra de afaceri globală sau sume de până la 10 milioane de euro.

Ce presupune evaluarea de impact DPIA?  

Evaluarea de impact este parte importantă din documentația GDPR. Potrivit Regulamentului, evaluarea de impact trebuie să aibă loc înainte de activitatea de prelucrare și se actualizează pe măsură ce, în procesul de prelucrare a datelor, apar modificări. Conform Grupului de Lucru Art.29, efectuarea DPIA este un proces continuu, ci nu un exercițiu unic.

Analiza DPIA poate fi realizată de către companie cu ajutorul unor resurse interne (ca de exemplu, șabloanele), sau poate fi o sarcină externalizată unui avocat sau unei alte persoane instruite în acest sens. În oricare dintre situații, operatorul este responsabil de efectuarea ei. De asemenea, va fi necesar avizul responsabilului cu protecția datelor pe raportul final, dar și în timpul realizării analizei.

Cum se realizează evaluarea de impact?  

Regulamentul GDPR stabilește caracteristicile minime ale analizei DPIA. Astfel, putem vorbim despre minim 4 etape, respectiv:

1. Descrierea prelucrării preconizate și a scopurilor prelucrării;

2. Evaluarea necesității și proporționalității prelucrării;

3. Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate;

4. Elaborarea măsurilor preconizate în vederea abordării riscurilor și demonstrării conformității cu GDPR.

Ce presupune gestionarea riscurilor?  

Pentru etapa de gestionare a riscurilor se pot utiliza pașii următori:

1. Stabilirea contextului;

2. Evaluarea riscurilor;

3. Tratarea riscurilor - menționarea măsurilor propuse pentru atenuarea acestora.

Important de menționat este că structura și forma concretă a analizei DPIA este lăsată la libera alegere a fiecărei companii în parte, singura condiție fiind ca documentul să prezinte evaluarea reală a riscurilor.

Cine este responsabil pentru realizarea DPIA?  

Decizia de realizare a analizei DPIA revine în responsabilitatea echipei de conducere a companiei. Aceasta se efectuează pe baza recomandărilor emise de către persoana care ocupă postul de DPO sau, după caz, de consultantul în protecția datelor. Evaluarea de impact (DPIA) poate fi făcută și de către o companie externă cu expertiză în domeniul protecției datelor.

O astfel de evaluare implică un proces complex de interpretare a activității supuse analizei, de aceea este și recomandat ca organizațiile să colaboreze cu experți în domeniul protecției datelor personale.

Concret, procesul de evaluare a impactului asupra protecției datelor presupune un efort comun și susținut în special din partea managerilor departamentelor firmei, a DPO-ului și a responsabilului cu securitatea informațiilor (Chief Information Security Officer).

Deși nu există un cadru general aplicabil pentru realizarea analizei de impact, metodologia aleasă de fiecare operator în parte trebuie să vizeze criteriile comune identificate în Regulamentul GDPR.