Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 22 Octombrie 2019
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis

Evaluarea impactului operatiunilor de prelucrare asupra protectiei datelor cu caracter personal.

Alexandra Jivan Raspuns oferit de
Alexandra Jivan
Avocat

Doua dintre principiile fundamentale reglementate de art. 5 al GDPR, anume cel al transparentei prelucrarii datelor si cel al responsabilitatii operatorului in raport cu modul in care prelucrarea este efectuata (principiu care include obligativitatea punerii in aplicare de masuri tehnice si organizatorice adecvate pentru a garanta si proba respectarea normelor legale in activitatea derulata), prezinta o importanta ridicata pentru tema abordata in cadrul acestui articol.

In contextul creat de cele doua principii antementionate, alin. 1 al art. 35 din Regulamentul European nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (denumit in continuare Regulamentul sau GDPR) prevede faptul ca avand in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii, in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul efectueaza, inaintea prelucrarii, o evaluare a impactului operatiunilor de prelucrare prevazute asupra protectiei datelor cu caracter personal .

Aceasta evaluare, denumita in varianta originala de limba engleza a GDPR, data protection impact assessment (denumita in continuare, pe scurt, DPIA), a surescitat numeroase discutii intrucat in practica nu erau clare situatiile in care aceasta este obligatorie si cele in care nu este.

Astfel, dorim sa atragem atentia de la bun inceput asupra faptului ca prezentul articol nu doreste sub nicio forma sa sustina ca DPIA nu reprezinta un instrument util in implementarea si probarea respectarii Regulamentului, chiar dimpotriva avand in vedere in special obligatia operatorilor de monitorizare continua a modului de prelucrare a datelor, ci doar sa ofere un suport operatorilor de date cu caracter personal si persoanelor imputernicite de catre acestia, in vederea stabilirii conduite adecvate in raport cu o atare evaluare.

Revenind insa la dispozitiile art. 35 din GDPR, vom aborda subiectul DPIA din perspectiva directiilor trasate prin ghidul adoptat la data de 4 aprilie 2017 si revizuit 7 luni mai tarziu (denumit pe scurt Ghidul) de catre Grupul de lucru Articol 29 (inlocuit actualmente de European Data Protection Board, motiv pentru care vor folosi sintagma EDPB chiar daca documentul a fost intocmit de Grupul de lucru), deoarece opiniile si recomandarile acestei autoritati raman relevante in practica.
1. Cand este obligatorie intocmirea unui DPIA?

Potrivit art. 35 din Regulament, precum si sublinierilor repetate din cadrul Ghidului, intocmirea unei DPIA se face anterior prelucrarii si doar in situatiile in care respectiva prelucrare poate genera un risc ridicat pentru drepturile si libertatile persoanelor vizate.

In acest sens, un aspect important este acela ca articolul antementionat nu se refera strict la drepturile persoanei vizate reglementate de GDPR, ci si la alte drepturi cum sunt libertatea de expresie, de libertate, de constiinta si religie, dreptul la nediscriminare etc. si deci trebuie avut in vedere si acest aspect la momentul la care se face evaluarea pentru a se decide daca exista sau nu obligativitatea intocmirii unei DPIA.

Pentru a veni in sprijinul operatorilor de date, GDPR indica la alin. 3 din acelasi articol, cateva dintre situatiile in care DPIA este obligatorie, respectiv:
  1. cea in care prelucrarea implica o evaluare sistematica si cuprinzatoare a aspectelor personale le unei persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii ce produc efecte juridice sau care o afecteaza in mod semnificativ; sau
  2. cea in care prelucrarea se realizeaza pe scara larga si priveste categorii speciale de date; sau
  3. cea in care prelucrarea presupune monitorizarea sistematica pe scara larga a unei zone accesibile publicului.

Mai mult, potrivit recomandarilor autoritatii europene din ghidul analizat si al alin. 89 si 91 din preambulul GDPR, putem cu siguranta adauga un al patrulea exemplu de situatie in care intocmirea unei DPIA este cu certitudine necesara, anume cel in care se doreste lansarea unui produs tehnologic nou pe piata.

De asemenea, tot pentru a oferi un cadru cat mai clar de reglementare si a fi evitate situatiile discutabile, prin Regulament se stabileste obligativitatea autoritatii de supraveghere a prelucarii datelor cu caracter personal de a intocmi si publica o lista a tipurilor de operatiuni de prelucrare care fac obiectul cerintei de efectuare a unei evaluari a impactului asupra protectiei datelor. O atare lista nu va avea insa caracter exhaustiv si va trebui supusa analizei EDPB. Autoritatea competenta din Romania (a carei denumire este pe scurt ANSPDCP) a transmis respectiva lista in luna iulie a anului trecut, opinia cuprinzand recomandarile European Data Protection Board cu privire la continutul acesteia fiind adoptata in 25 septembrie 2018.

Recunoscand insa varietatea larga a situatiilor practice, EDPB a constat necesitatea indicarii unor linii directoare de care se poate tine cont in cazuri particulare, in care necesitatea intocmirii unei DPIA nu este poate usor de stabilit. Astfel, cel 9 criterii prevazute in Ghid, ce presupun existenta unui ridicat pentru drepturile si libertatile persoanelor vizate, sunt:
  1. Efectuarea de evaluari sau clasificari (ex. cazul magazinelor online care creaza profile ale utilizatorilor bazat pe comportamentul acestora la navigarea pe site, nelimitandu-se la oferirea de publicitate tintita sau informari scurte zilnice);
  2. Efectuarea de decizii automate;
  3. Monitorizarea sistematica;
  4. Prelucrarea datelor sensibile sau relevate din documente foarte personale (ex. cazul spitalelor sau al detectivilor particulari - nu insa si cel al avocatilor sau cabinetelor medicale individuale, aceste categorii de operatori fiind exceptate conform ghidului EDPB);
  5. Prelucrarea datelor pe scara larga (notiune ce nu este definita de GDPR, dar despre ale carei criterii am discutat deja intr-un articol anterior);
  6. Potrivirea sau combinarea seturilor de date;
  7. Prelucrarea datelor privitoare la persoane vulnerabile (ex. copii, angajatii monitorizati in mod sistematic, pacientii din studiile clinice, batranii);
  8. Aplicarea de solutii tehnologice sau organizationale inovative (ex. folosirea amprentei digitale si a recunoasterii faciale);
  9. Prelucrarea impiedica persoanele vizate sa isi exercite un drept sau sa foloseasca un serviciu ori sa acceseze un contract (ex. banca decide daca refuza sau acorda un credit in urma folosirii unui indice dintr-o baza de date).

Adesea, indeplinirea a cel putin doua dintre criterii mai sus enumerate va genera obligativitatea intocmirii unei DPIA, insa pot exista si situatii in care chiar si un criteriu are acelasi efect. Prin urmare, o decizie de neefectuare a unei atare evaluari desi criteriile sunt indeplinite, va trebui sa aiba la baza motive bine intemeiate. Mai mult, EDPB considera ca in toate cazurile in care nu este clar daca o DPIA este obligatorie sau nu, o astfel de evaluare va trebui efectuata.
2. Ce trebuie sa cuprinda un DPIA?

Conform art. 35 alin. 7 si alin. 84 si 90 din preambulul GDPR, o DPIA va cuprinde cel putin:
  1. o descriere sistematica a operatiunilor de prelucrare preconizate si a scopurilor prelucrarii, inclusiv, dupa caz, interesul legitim urmarit de operator;
  2. o evaluare a necesitatii si proportionalitatii operatiunilor de prelucrare in legatura cu aceste scopuri;
  3. o evaluare a riscurilor pentru drepturile si libertatile persoanelor vizate;
  4. masurile preconizate in vederea abordarii riscurilor. Orice aderare la coduri de conduita aprobate, certificari, atestari, implementare de reguli corporatiste obligatorii, vor fi avute in vedere si considerate a fi masuri de asigurare a conformarii la normele Regulamentului.

O DPIA poate viza o activitate de prelucrare a datelor sau un set de operatiuni de prelucrare daca acestea sunt similare si prezinta riscuri ridicate in mod similar, cu mentiunea ca in acest ultim caz, conform recomandarilor EDPB, ar trebui sa existe o justificare documentata pentru faptul ca s-a decis intocmirea unei singure DPIA.
3. Este necesara revizuirea DPIA?

Raspunsul este cu certitudine unul afirmativ. Revizuirea DPIA va trebui facuta la fiecare modificare a riscurilor prelucrarii, a conditiilor de implementare sau a scopurilor, tinand cont de faptul ca securitatea datelor trebuie pastrata intr-un mediu aflat in continua schimbare.

Asadar, efectuarea unei DPIA reprezinta un proces continuu, iar nu un demers unic.
4. Cine trebuie sa intocmeasca DPIA? Care sunt actorii implicati?

Raportat la persoanele care trebuie sa intocmeasca o DPIA, precizam ca operatorul este cel direct responsabil. De asemenea, un DPIA poate fi intocmit de doi operatori de date asociati, caz in care se va indica in mod expres rolul si responsabilitatile fiecaruia din ei in raport cu acea prelucrare.

Intocmirea unei DPIA poate fi efectuata de unul dintre angajatii operatorului cu competente in acest sens, sau de catre un tert contractat, ori chiar de catre persoana imputernicita, insa ofiterul de protectia datelor desemnat de operator va fi in toate cazurile informat, recomandarile sale fiind luate in considerare.

Un aspect important cu privire la acest aspect il constituie si dispozitiile art. 35 alin. 9 din GDPR, conform carora operatorul va solicita, daca este cazul, avizul persoanelor vizate sau al reprezentantilor acestora privind prelucrarea prevazuta, prin diverse mijloce precum chestionare generice. Daca rezultatul avizului difera de decizia operatorului, decizia acestuia va trebui justificata, la fel ca in cazul in care considera ca nu este necesara consultarea persoanelor vizate deoarece, spre exemplu, ar afecta confidentialitatea planului de business al operatorului sau ar implica demersuri disproportionate.

De asemenea, atunci cand un operator de date constata ca nu poate implementa suficiente masuri de securitate astfel incat sa reduca riscul la care sunt supuse drepturile persoanelor vizate la un nivel acceptabil, este necesara consultarea autoritatii de supraveghere.
5. Se publica sau nu DPIA dupa intocmire?

Analizand dispozitiile GDPR, intrebarea de mai sus are cu siguranta un raspuns negativ. Cu toate acestea, trebuie avuta in vedere recomandarea EDPB de a publica cel putin parti ale DPIA (un sumar sau doar concluziile) in scopul asigurarii transparentei prelucrarii datelor si cladirii increderii in raport cu persoanele vizate.

Obligatia de comunicare a DPIA catre autoritatea de supraveghere in cazul in care consultarea acesteia este necesara, ramana oricum aplicabila.

IN CONCLUZIE, intocmirea unei DPIA nu este obligatorie in toate cazurile.

Astfel, situatiile indicate expres de GDPR si lista autoritatii de supraveghere indica contextele in care intocmirea unui DPIA este obligatorie. Avand insa in vedere faptul ca respectivele cazuri sunt indicate doar cu titlu exemplificativ, cele 9 criterii furnizate de Ghid trebuie analizate de catre operatorii de date atunci cand decid daca trebuie sau nu o DPIA raportat la prelucrarea efectuata.

In orice caz insa, atunci cand nu este clar daca un DPIA este sau nu necesar, recomandarea clara a autoritatii europene este ca o atare evaluare sa fie intocmita. Tot la capitolul recomandari, includem si revizuirea periodica a DPIA, consultarea ofiterului de protectia datelor, publicarea concluziilor evaluarii pentru asigurarea transparentei, precum si obtinerea avizului persoanelor vizate atunci cand este posibil.

Departe de a putea fi considerat un demers punctual, evaluarea impactului operatiunilor de prelucrare asupra protectiei datelor cu caracter personal, reprezinta cu siguranta un proces dificil, insa recomandat si extrem de util chiar si in situatiile in care nu prezinta caracter de obligativitate.

Newsletter portalprotectiadatelor.ro

Top 10 intrebari si raspunsuri referitoare la implementarea GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Top 10 intrebari si raspunsuri referitoare la implementarea GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

x