Evaluarea impactului operatiunilor de prelucrare asupra protectiei datelor cu caracter personal.

Doua dintre principiile fundamentale reglementate de art. 5 al GDPR, anume cel al transparentei prelucrarii datelor si cel al responsabilitatii operatorului in raport cu modul in care prelucrarea este efectuata (principiu care include obligativitatea punerii in aplicare de masuri tehnice si organizatorice adecvate pentru a garanta si proba respectarea normelor legale in activitatea derulata), prezinta o importanta ridicata pentru tema abordata in cadrul acestui articol.

In contextul creat de cele doua principii antementionate, alin. 1 al art. 35 din Regulamentul European nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (denumit in continuare Regulamentul sau GDPR) prevede faptul ca avand in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii, in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul efectueaza, inaintea prelucrarii, o evaluare a impactului operatiunilor de prelucrare prevazute asupra protectiei datelor cu caracter personal .

Aceasta evaluare, denumita in varianta originala de limba engleza a GDPR, data protection impact assessment (denumita in continuare, pe scurt, DPIA), a surescitat numeroase discutii intrucat in practica nu erau clare situatiile in care aceasta este obligatorie si cele in care nu este.

Astfel, dorim sa atragem atentia de la bun inceput asupra faptului ca prezentul articol nu doreste sub nicio forma sa sustina ca DPIA nu reprezinta un instrument util in implementarea si probarea respectarii Regulamentului, chiar dimpotriva avand in vedere in special obligatia operatorilor de monitorizare continua a modului de prelucrare a datelor, ci doar sa ofere un suport operatorilor de date cu caracter personal si persoanelor imputernicite de catre acestia, in vederea stabilirii conduite adecvate in raport cu o atare evaluare.

Revenind insa la dispozitiile art. 35 din GDPR, vom aborda subiectul DPIA din perspectiva directiilor trasate prin ghidul adoptat la data de 4 aprilie 2017 si revizuit 7 luni mai tarziu (denumit pe scurt Ghidul) de catre Grupul de lucru Articol 29 (inlocuit actualmente de European Data Protection Board, motiv pentru care vor folosi sintagma EDPB chiar daca documentul a fost intocmit de Grupul de lucru), deoarece opiniile si recomandarile acestei autoritati raman relevante in practica.

Potrivit art. 35 din Regulament, precum si sublinierilor repetate din cadrul Ghidului, intocmirea unei DPIA se face anterior prelucrarii si doar in situatiile in care respectiva prelucrare poate genera un risc ridicat pentru drepturile si libertatile persoanelor vizate.

In acest sens, un aspect important este acela ca articolul antementionat nu se refera strict la drepturile persoanei vizate reglementate de GDPR, ci si la alte drepturi cum sunt libertatea de expresie, de libertate, de constiinta si religie, dreptul la nediscriminare etc. si deci trebuie avut in vedere si acest aspect la momentul la care se face evaluarea pentru a se decide daca exista sau nu obligativitatea intocmirii unei DPIA.

Pentru a veni in sprijinul operatorilor de date, GDPR indica la alin. 3 din acelasi articol, cateva dintre situatiile in care DPIA este obligatorie, respectiv:

Mai mult, potrivit recomandarilor autoritatii europene din ghidul analizat si al alin. 89 si 91 din preambulul GDPR, putem cu siguranta adauga un al patrulea exemplu de situatie in care intocmirea unei DPIA este cu certitudine necesara, anume cel in care se doreste lansarea unui produs tehnologic nou pe piata.

De asemenea, tot pentru a oferi un cadru cat mai clar de reglementare si a fi evitate situatiile discutabile, prin Regulament se stabileste obligativitatea autoritatii de supraveghere a prelucarii datelor cu caracter personal de a intocmi si publica o lista a tipurilor de operatiuni de prelucrare care fac obiectul cerintei de efectuare a unei evaluari a impactului asupra protectiei datelor. O atare lista nu va avea insa caracter exhaustiv si va trebui supusa analizei EDPB. Autoritatea competenta din Romania (a carei denumire este pe scurt ANSPDCP) a transmis respectiva lista in luna iulie a anului trecut, opinia cuprinzand recomandarile European Data Protection Board cu privire la continutul acesteia fiind adoptata in 25 septembrie 2018.

Recunoscand insa varietatea larga a situatiilor practice, EDPB a constat necesitatea indicarii unor linii directoare de care se poate tine cont in cazuri particulare, in care necesitatea intocmirii unei DPIA nu este poate usor de stabilit. Astfel, cel 9 criterii prevazute in Ghid, ce presupun existenta unui ridicat pentru drepturile si libertatile persoanelor vizate, sunt:

Adesea, indeplinirea a cel putin doua dintre criterii mai sus enumerate va genera obligativitatea intocmirii unei DPIA, insa pot exista si situatii in care chiar si un criteriu are acelasi efect. Prin urmare, o decizie de neefectuare a unei atare evaluari desi criteriile sunt indeplinite, va trebui sa aiba la baza motive bine intemeiate. Mai mult, EDPB considera ca in toate cazurile in care nu este clar daca o DPIA este obligatorie sau nu, o astfel de evaluare va trebui efectuata.

Conform art. 35 alin. 7 si alin. 84 si 90 din preambulul GDPR, o DPIA va cuprinde cel putin:

O DPIA poate viza o activitate de prelucrare a datelor sau un set de operatiuni de prelucrare daca acestea sunt similare si prezinta riscuri ridicate in mod similar, cu mentiunea ca in acest ultim caz, conform recomandarilor EDPB, ar trebui sa existe o justificare documentata pentru faptul ca s-a decis intocmirea unei singure DPIA.

Raspunsul este cu certitudine unul afirmativ. Revizuirea DPIA va trebui facuta la fiecare modificare a riscurilor prelucrarii, a conditiilor de implementare sau a scopurilor, tinand cont de faptul ca securitatea datelor trebuie pastrata intr-un mediu aflat in continua schimbare.

Asadar, efectuarea unei DPIA reprezinta un proces continuu, iar nu un demers unic.

Raportat la persoanele care trebuie sa intocmeasca o DPIA, precizam ca operatorul este cel direct responsabil. De asemenea, un DPIA poate fi intocmit de doi operatori de date asociati, caz in care se va indica in mod expres rolul si responsabilitatile fiecaruia din ei in raport cu acea prelucrare.

Intocmirea unei DPIA poate fi efectuata de unul dintre angajatii operatorului cu competente in acest sens, sau de catre un tert contractat, ori chiar de catre persoana imputernicita, insa ofiterul de protectia datelor desemnat de operator va fi in toate cazurile informat, recomandarile sale fiind luate in considerare.

Un aspect important cu privire la acest aspect il constituie si dispozitiile art. 35 alin. 9 din GDPR, conform carora operatorul va solicita, daca este cazul, avizul persoanelor vizate sau al reprezentantilor acestora privind prelucrarea prevazuta, prin diverse mijloce precum chestionare generice. Daca rezultatul avizului difera de decizia operatorului, decizia acestuia va trebui justificata, la fel ca in cazul in care considera ca nu este necesara consultarea persoanelor vizate deoarece, spre exemplu, ar afecta confidentialitatea planului de business al operatorului sau ar implica demersuri disproportionate.

De asemenea, atunci cand un operator de date constata ca nu poate implementa suficiente masuri de securitate astfel incat sa reduca riscul la care sunt supuse drepturile persoanelor vizate la un nivel acceptabil, este necesara consultarea autoritatii de supraveghere.

Analizand dispozitiile GDPR, intrebarea de mai sus are cu siguranta un raspuns negativ. Cu toate acestea, trebuie avuta in vedere recomandarea EDPB de a publica cel putin parti ale DPIA (un sumar sau doar concluziile) in scopul asigurarii transparentei prelucrarii datelor si cladirii increderii in raport cu persoanele vizate.

Obligatia de comunicare a DPIA catre autoritatea de supraveghere in cazul in care consultarea acesteia este necesara, ramana oricum aplicabila.

IN CONCLUZIE, intocmirea unei DPIA nu este obligatorie in toate cazurile.

Astfel, situatiile indicate expres de GDPR si lista autoritatii de supraveghere indica contextele in care intocmirea unui DPIA este obligatorie. Avand insa in vedere faptul ca respectivele cazuri sunt indicate doar cu titlu exemplificativ, cele 9 criterii furnizate de Ghid trebuie analizate de catre operatorii de date atunci cand decid daca trebuie sau nu o DPIA raportat la prelucrarea efectuata.

In orice caz insa, atunci cand nu este clar daca un DPIA este sau nu necesar, recomandarea clara a autoritatii europene este ca o atare evaluare sa fie intocmita. Tot la capitolul recomandari, includem si revizuirea periodica a DPIA, consultarea ofiterului de protectia datelor, publicarea concluziilor evaluarii pentru asigurarea transparentei, precum si obtinerea avizului persoanelor vizate atunci cand este posibil.

Departe de a putea fi considerat un demers punctual, evaluarea impactului operatiunilor de prelucrare asupra protectiei datelor cu caracter personal, reprezinta cu siguranta un proces dificil, insa recomandat si extrem de util chiar si in situatiile in care nu prezinta caracter de obligativitate.