Realizarea unei evaluari de impact

Raspuns: Intrebarea este simpla, dar raspunsul nu poate sa fie simplu, din pacate. Este nevoie sa realizati o evaluare de impact, din motivele explicate mai jos:

Potrivit art. 35 alin. (1) GDRP, avand in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii, in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul efectueaza, inaintea prelucrarii, o evaluare a impactului (DPIA Data Protection Impact Assessment) operatiunilor de prelucrare prevazute asupra protectiei datelor cu caracter personal .
Potrivit alin. (4) al aceluiasi articol, Autoritatea nationala de supraveghere intocmeste si publica o lista a tipurilor de operatiuni de prelucrare care fac obiectul cerintei de efectuare a unei evaluari a impactului asupra protectiei datelor .
Autoritatea romana de supraveghere a adoptat Decizia nr. 174/2018 privind lista operatiunilor pentru care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 919 din 31 octombrie 2018.
Potrivit art. 1 alin. (1) din Decizie, evaluarea impactului asupra protectiei datelor cu caracter personal de catre operatori este obligatorie in special in urmatoarele cazuri:
a) prelucrarea datelor cu caracter personal in vederea realizarii unei evaluari sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa;
b) prelucrarea pe scara larga a datelor cu caracter personal privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unica a unei persoane fizice, a datelor privind sanatatea, viata sexuala sau orientarea sexuala ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnari penale si infractiuni;
c) prelucrarea datelor cu caracter personal avand ca scop monitorizarea sistematica pe scara larga a unei zone accesibile publicului, cum ar fi supravegherea video in centre comerciale, stadioane, piete, parcuri sau alte asemenea spatii;
d) prelucrarea pe scara larga a datelor cu caracter personal ale persoanelor vulnerabile, in special ale minorilor si ale angajatilor, prin mijloace automate de monitorizare si/sau inregistrare sistematica a comportamentului, inclusiv in vederea desfasurarii activitatilor de reclama, marketing si publicitate;
e) prelucrarea pe scara larga a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile, cum ar fi utilizarea tehnicilor de recunoastere faciala in vederea facilitarii accesului in diferite spatii;
f) prelucrarea pe scara larga a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicatii Internetul lucrurilor , cum ar fi smart TV, vehicule conectate, contoare inteligente, jucarii inteligente, orase inteligente sau alte asemenea aplicatii);
g) prelucrarea pe scara larga si/sau sistematica a datelor de trafic si/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografica a pasagerilor in transportul public sau alte asemenea situatii) atunci cand prelucrarea nu este necesara pentru prestarea unui serviciu solicitat de persoana vizata.
II. Asadar, evaluarea impactului (DPIA) asupra protectiei datelor cu caracter personal pe care o are o anumita prelucrare a acestor date este obligatorie atunci cand prelucrarea este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice. A se vedea, in acest sens, si Ghidul. In realitate, fara DPIA operatorul nu stie daca DPIA este necesara, astfel incat DPIA este necesara mereu.
III. Daca DPIA dezvaluie riscuri reziduale ridicate, operatorul trebuie sa se consulte cu Autoritatea de supraveghere, potrivit cerintelor art. 36 alin. (1) GDPR. Daca nu exista riscuri reziduale ridicate, consultarea nu este necesara.
IV. Exista doua modalitati de realizare a DPIA: una simpla, una extinsa. Cea simpla vizeaza identificarea vulnerabilitatilor, cea de a doua, atunci cand este posibila, realizeaza concomitent depistarea vulnerabilitatilor si tratarea lor eficienta.
V. Iata in continuare lista intrebarilor la care trebuie sa raspunda DPIA. Dupa ce operatorul, sub indrumarea consultantului si cu avizul DPO, raspunde la intrebari, aceste intrebari se vor transforma in sectiuni ale evaluarii de impact:
1. Cine realizeaza studiul de impact?
2. Cine avizeaza studiul de impact?
3. Care sunt operatiunile de prelucrare?
4. Care sunt datele cu caracter personal prelucrate?
5. Care este scopul prelucrarii?
6. Care sunt modalitatile alternative de atingere a scopului?
7. Care este temeiul juridic al prelucrarii?
8. Care este necesitatea prelucrarii?
9. Exista acordul persoanelor vizate?
10. Exista imputerniciti?
11. Cum sunt definite contractual responsabilitatile imputernicitilor?
12. Unde sunt stocate datele cu caracter personal colectate? (identificare precisa, detaliata)
13. Cum sunt securizate datele cu caracter personal colectate?
14. Cine este responsabil cu securitatea datelor cu caracter personal colectate?
15. Cum sunt definite contractual responsabilitatile privind securitatea datelor cu caracter personal colectate?
16. Cum se utilizeaza datele cu caracter personal colectate? (descrierea functionala a utilizarii datelor)
17. Care este perioada de stocare a datelor cu caracter personal colectate?
18. Care este justificarea duratei stocarii?
19. Cine utilizeaza datele cu caracter personal colectate?
20. Cum se face stergerea datelor cu caracter personal?
21. Cum sunt definite contractual responsabilitatile salariatilor care au atributii in privinta prelucrarii datele cu caracter personal?
22. Cine verifica respectarea procedurilor de colectare si utilizare a datelor cu caracter personal?
23. In ce modalitate se realizeaza respectarea procedurilor de colectare si utilizare a datelor cu caracter personal?
24. Cum sunt definite contractual responsabilitatile celor care verifica respectarea procedurilor de colectare si utilizare a datelor cu caracter personal?
25. Cum se face informarea persoanelor vizate cu privire la modalitatile de realizare si scopurile monitorizarii video?
26. Care sunt riscurile pentru persoanele vizate?
27. Riscurile sunt proportionale cu scopul?
28. Cum sunt atenuate riscurile?
29. Exista riscuri reziduale?
30. In ce forma si catre cine se realizeaza comunicarea acestei evaluari?


Evaluarea trebuie sa clarifice nu doar scopul prelucrarii in sensul de interes legitim etc., ci mai detaliat, adica in concret. In plus, trebuie sa se refere la:
5. Care este scopul prelucrarii?
6. Care sunt modalitatile alternative de atingere a scopului?
7. Care este temeiul juridic al prelucrarii?
8. Care este necesitatea prelucrarii?
Detaliat inseamna, intr-un caz procesat de noi, o enumerare pana la litera i):
Imaginile video se prelucreaza doar in masura in care este necesar si avand in vedere urmatoarele scopuri:
a) In vederea asigurarii confortului, sigurantei atat a salariatilor cat si pentru protejarea bunurilor companiei, prin limitarea patrunderii in incinta a persoanelor straine sau fara drept de acces.
b) posibilitatea clarificarii circumstantelor in cazul aparitiei unor incidente intre vizitatori, intre salariati intre vizitatori si salariati (imagini video)
[...]

Realizarea evaluarii de impact este o activitate laborioasa si foarte personalizata, care excede cadrului acestui raspuns.