Когда нам нужно сделать DPIA?
Поиск статьи
Статья 35(1) гласит, что вы должны пройти DPIA, если тип обработкискорее всего, приведет к высокому рискук правам и свободам личности:
«Если тип обработки, в частности, с использованием новых технологий и с учетом характера, объема, контекста и целей обработки, может привести к высокому риску для прав и свобод физических лиц, контролер должен, прежде к обработке, провести оценку влияния предусмотренных операций по обработке на защиту персональных данных. Единая оценка может касаться набора аналогичных операций по обработке, которые представляют одинаковые высокие риски».
Риск в этом контексте подразумевает возможность нанесения существенного физического, материального или нематериального вреда людям. См. Что такое DPIA? для получения дополнительной информации о характере риска.
Согласно GDPR Великобритании, чтобы оценить, является ли что-либо «высоким риском», вам необходимо учитывать как вероятность, так и серьезность любого потенциального вреда для отдельных лиц. «Риск» подразумевает более чем отдаленную вероятность причинения какого-либо вреда. «Высокий риск» подразумевает более высокий порог либо потому, что вред более вероятен, либо потому, что потенциальный вред более серьезен, либо потому, что это сочетание двух. Оценка вероятности риска в этом смысле является частью работы DPIA.
Однако для целей первоначальной проверки вопрос заключается в том, является ли обработкатипа, который может привести квысокий риск.
GDPR Великобритании не дает определения «вероятно, приведет к высокому риску». Однако важным моментом здесь является не то, представляет ли обработка на самом деле высокий риск или может ли она привести к вреду – детальная оценка этого должна проводиться самим DPIA. Вместо этого вопрос заключается в скрининговом тесте более высокого уровня: есть ли признаки, указывающие на потенциал высокого риска? Вы проверяете все тревожные сигналы, которые указывают на то, что вам необходимо провести DPIA, чтобы более подробно изучить риск (включая вероятность и серьезность потенциального вреда).
В статье 35(3) перечислены три примера типов обработки, для которых автоматически требуется DPIA, а ICO опубликовало список в соответствии со статьей 35(4), в котором указаны еще десять. Существуют также европейские рекомендации с некоторыми критериями, которые помогут вам определить другие вероятные обработки с высоким риском.
Это не означает, что эти виды обработки всегда сопряжены с высоким риском или всегда могут причинить вред – просто существует разумная вероятность того, что они могут быть сопряжены с высоким риском, и поэтому для более подробной оценки уровня риска требуется DPIA.
Если предполагаемая обработка не описана в GDPR Великобритании, статье 35(3) списка ICO или европейских правилах, то в конечном итоге вам решать, относится ли ваша обработка к типу, который может привести к высокому риску, принимая во внимание характер , объем, контекст и цели обработки. В случае каких-либо сомнений мы всегда рекомендуем вам провести DPIA, чтобы обеспечить соблюдение требований и поощрять передовой опыт.
Статья 35(3) определяет три типа обработки, для которых всегда требуется DPIA:
«(a) любая систематическая и обширная оценка личных аспектов, касающихся физических лиц, которая основана на автоматизированной обработке, включая профилирование, и на которой основаны решения, которые производят юридические последствия в отношении физического лица или аналогичным образом существенно влияют на физическое лицо».
«(b) обработка в больших масштабах специальных категорий данных, указанных в статье 9(1), или персональных данных, касающихся уголовных судимостей и преступлений, указанных в статье 10».
«(c) систематический мониторинг общедоступной территории в больших масштабах».
Рабочая группа органов ЕС по защите данных в соответствии со статьей 29 (WP29) опубликовала рекомендации с девятью критериями, которые могут служить индикаторами вероятной обработки с высоким риском:
Дополнительные сведения об этих факторах см. в рекомендациях WP29 (WP248). Они дают базовую информацию об обосновании индикаторов высокого риска и примеры обработки, которая может привести к высокому риску.
Пред: Следующий
Следующий: Труборезная машина HGG SPC 1200 RB/3