Когда нам нужно сделать DPIA?

Поиск статьи

Статья 35(1) гласит, что вы должны пройти DPIA, если тип обработкискорее всего, приведет к высокому рискук правам и свободам личности:

«Если тип обработки, в частности, с использованием новых технологий и с учетом характера, объема, контекста и целей обработки, может привести к высокому риску для прав и свобод физических лиц, контролер должен, прежде к обработке, провести оценку влияния предусмотренных операций по обработке на защиту персональных данных. Единая оценка может касаться набора аналогичных операций по обработке, которые представляют одинаковые высокие риски».

Риск в этом контексте подразумевает возможность нанесения существенного физического, материального или нематериального вреда людям. См. Что такое DPIA? для получения дополнительной информации о характере риска.

Согласно GDPR Великобритании, чтобы оценить, является ли что-либо «высоким риском», вам необходимо учитывать как вероятность, так и серьезность любого потенциального вреда для отдельных лиц. «Риск» подразумевает более чем отдаленную вероятность причинения какого-либо вреда. «Высокий риск» подразумевает более высокий порог либо потому, что вред более вероятен, либо потому, что потенциальный вред более серьезен, либо потому, что это сочетание двух. Оценка вероятности риска в этом смысле является частью работы DPIA.

Однако для целей первоначальной проверки вопрос заключается в том, является ли обработкатипа, который может привести квысокий риск.

GDPR Великобритании не дает определения «вероятно, приведет к высокому риску». Однако важным моментом здесь является не то, представляет ли обработка на самом деле высокий риск или может ли она привести к вреду – детальная оценка этого должна проводиться самим DPIA. Вместо этого вопрос заключается в скрининговом тесте более высокого уровня: есть ли признаки, указывающие на потенциал высокого риска? Вы проверяете все тревожные сигналы, которые указывают на то, что вам необходимо провести DPIA, чтобы более подробно изучить риск (включая вероятность и серьезность потенциального вреда).

В статье 35(3) перечислены три примера типов обработки, для которых автоматически требуется DPIA, а ICO опубликовало список в соответствии со статьей 35(4), в котором указаны еще десять. Существуют также европейские рекомендации с некоторыми критериями, которые помогут вам определить другие вероятные обработки с высоким риском.

Это не означает, что эти виды обработки всегда сопряжены с высоким риском или всегда могут причинить вред – просто существует разумная вероятность того, что они могут быть сопряжены с высоким риском, и поэтому для более подробной оценки уровня риска требуется DPIA.

Если предполагаемая обработка не описана в GDPR Великобритании, статье 35(3) списка ICO или европейских правилах, то в конечном итоге вам решать, относится ли ваша обработка к типу, который может привести к высокому риску, принимая во внимание характер , объем, контекст и цели обработки. В случае каких-либо сомнений мы всегда рекомендуем вам провести DPIA, чтобы обеспечить соблюдение требований и поощрять передовой опыт.

Статья 35(3) определяет три типа обработки, для которых всегда требуется DPIA:

«(a) любая систематическая и обширная оценка личных аспектов, касающихся физических лиц, которая основана на автоматизированной обработке, включая профилирование, и на которой основаны решения, которые производят юридические последствия в отношении физического лица или аналогичным образом существенно влияют на физическое лицо».

«(b) обработка в больших масштабах специальных категорий данных, указанных в статье 9(1), или персональных данных, касающихся уголовных судимостей и преступлений, указанных в статье 10».

«(c) систематический мониторинг общедоступной территории в больших масштабах».

Рабочая группа органов ЕС по защите данных в соответствии со статьей 29 (WP29) опубликовала рекомендации с девятью критериями, которые могут служить индикаторами вероятной обработки с высоким риском:

Дополнительные сведения об этих факторах см. в рекомендациях WP29 (WP248). Они дают базовую информацию об обосновании индикаторов высокого риска и примеры обработки, которая может привести к высокому риску.