Comunitatea DPOCategorie: Institutii PubliceBuna ziua, as dori sa stiu cum se concretizeaza evaluarea impactului? sub forma unui chestionar tipizat adresat compartimentelor din cadrul institutiei ?
IntrebariCursanti Echipa asked 3 luni ago
Darius Farcas replied 3 luni ago

Bună ziua,

RGPD nu specifică ce procedură DPIA trebuie urmată, ci permite operatorilor de date să introducă un
cadru care să completeze practicile lor de lucru existente, cu condiția să ia în considerare componentele descrise la art. 35 (7). Un astfel de cadru poate fi personalizat pentru operatorul de date sau poate fi comun într-o anumită industrie.
Evaluarea efectuată sub forma unui chestionar tipizat poate fi o variantă de luat în calcul pentru situația descrisă.

În Ghidul privind Evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o
prelucrare este „susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679 (https://www.dataprotection.ro/servlet/ViewDocument?id=1439) putem afla niște indicatori pe care DPIA ar trebui să îi conțină:

Grupul de Lucru Articolul 29 propune următoarele criterii pe care operatorii de date le pot utiliza pentru a evalua dacă o DPIA sau o metodologie de realizare a unei DPIA este suficient de cuprinzătoare pentru a se conforma RGPD:
 se furnizează o descriere sistematică a prelucrării (art. 35 (7) a)):
o se ține cont de natura, domeniul de aplicare, contextul și scopurile prelucrării
(Considerentul 90);
o se înregistrează datele cu caracter personal, destinatarii, și perioada pentru care datele cu
caracter personal sunt stocate;
o se furnizează o descriere funcțională a operațiunii de prelucrare;
o se identifică activele pe care se bazează datele cu caracter personal (hardware, software,
rețelele, persoanele, documentele pe suport hârtie sau canalele de transmitere pe suport de
hârtie);
o se ține cont de respectarea codurilor de conduită aprobate (art. 35 (8));
 se evaluează necesitatea și proporționalitatea (art. 35 (7) b)):
o se determină măsurile preconizate în vederea conformării cu Regulamentul (art. 35 (7) d)
și Considerentul 90), având în vedere:
măsuri care contribuie la proporționalitatea și necesitatea prelucrării pe baza:
• scopurilor determinate, explicite și legitime (art. 5 (1) b));
• legalitatea prelucrării (art. 6);
• adecvate, relevante și limitate la ceea ce este necesar (art. 5 (1) c));
• perioadă de stocare limitată (art. 5 (1) e));
 măsuri care contribuie la drepturile persoanelor vizate:
• informațiile furnizate persoanei vizate (art. 12, 13 și 14);
• dreptul de acces și dreptul la portabilitatea datelor (art. 15 și 20);
• dreptul la rectificare și dreptul la ștergere (art. 16, 17 și 19);
• dreptul la opoziție și dreptul la restricționarea prelucrării (art. 18, 19 și 21);
• relațiile cu persoanele împuternicite de operator (art. 28);
• garanțiile pentru transferurile internaționale (Capitolul V);
• consultarea prealabilă (art. 36).
 se gestionează riscurile pentru drepturile și libertățile persoanelor vizate (art. 35 (7) c)):
o se analizează originea, natura, particularitatea și gravitatea riscurilor (a se vedea
Considerentul 84) sau, mai exact, pentru fiecare risc (acces ilegal, modificări nedorite și
dispariția datelor) din perspectiva persoanelor vizate:
 se ține cont de sursele riscurilor (Considerentul 90);
 se identifică impactul posibil asupra drepturilor și libertăților persoanelor vizate în cazul unor evenimente ce includ accesul ilegal, modificările nedorite sau dispariția datelor;
 se identifică amenințările care ar putea conduce la accesul ilegal, modificarea
nedorită sau dispariția datelor;
 se estimează probabilitatea și gravitatea (Considerentul 90);
o se determină măsurile preconizate pentru atenuarea respectivelor riscuri (art. 35 (7) d) și
Considerentul 90);
 sunt implicate părțile interesate:
o se solicită avizul DPO (art. 35 (2));
o se solicită, acolo unde este cazul, avizul peroanelor vizate sau al reprezentanților acestora
(art. 35 (9)).

1 Answers
Darius Farcas answered 3 luni ago

Bună ziua,

RGPD nu specifică ce procedură DPIA trebuie urmată, ci permite operatorilor de date să introducă un

cadru care să completeze practicile lor de lucru existente, cu condiția să ia în considerare componentele descrise la art. 35 (7). Un astfel de cadru poate fi personalizat pentru operatorul de date sau poate fi comun într-o anumită industrie.

Evaluarea efectuată sub forma unui chestionar tipizat poate fi o variantă de luat în calcul pentru situația descrisă.

În Ghidul privind Evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o

prelucrare este „susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679 (https://www.dataprotection.ro/servlet/ViewDocument?id=1439) putem afla niște indicatori pe care DPIA ar trebui să îi conțină:

Grupul de Lucru Articolul 29 propune următoarele criterii pe care operatorii de date le pot utiliza pentru a evalua dacă o DPIA sau o metodologie de realizare a unei DPIA este suficient de cuprinzătoare pentru a se conforma RGPD:

 se furnizează o descriere sistematică a prelucrării (art. 35 (7) a)):

o se ține cont de natura, domeniul de aplicare, contextul și scopurile prelucrării

(Considerentul 90);

o se înregistrează datele cu caracter personal, destinatarii, și perioada pentru care datele cu

caracter personal sunt stocate;

o se furnizează o descriere funcțională a operațiunii de prelucrare;

o se identifică activele pe care se bazează datele cu caracter personal (hardware, software,

rețelele, persoanele, documentele pe suport hârtie sau canalele de transmitere pe suport de

hârtie);

o se ține cont de respectarea codurilor de conduită aprobate (art. 35 (8));

 se evaluează necesitatea și proporționalitatea (art. 35 (7) b)):

o se determină măsurile preconizate în vederea conformării cu Regulamentul (art. 35 (7) d)

și Considerentul 90), având în vedere:

măsuri care contribuie la proporționalitatea și necesitatea prelucrării pe baza:

• scopurilor determinate, explicite și legitime (art. 5 (1) b));

• legalitatea prelucrării (art. 6);

• adecvate, relevante și limitate la ceea ce este necesar (art. 5 (1) c));

• perioadă de stocare limitată (art. 5 (1) e));

 măsuri care contribuie la drepturile persoanelor vizate:

• informațiile furnizate persoanei vizate (art. 12, 13 și 14);

• dreptul de acces și dreptul la portabilitatea datelor (art. 15 și 20);

• dreptul la rectificare și dreptul la ștergere (art. 16, 17 și 19);

• dreptul la opoziție și dreptul la restricționarea prelucrării (art. 18, 19 și 21);

• relațiile cu persoanele împuternicite de operator (art. 28);

• garanțiile pentru transferurile internaționale (Capitolul V);

• consultarea prealabilă (art. 36).

 se gestionează riscurile pentru drepturile și libertățile persoanelor vizate (art. 35 (7) c)):

o se analizează originea, natura, particularitatea și gravitatea riscurilor (a se vedea

Considerentul 84) sau, mai exact, pentru fiecare risc (acces ilegal, modificări nedorite și

dispariția datelor) din perspectiva persoanelor vizate:

 se ține cont de sursele riscurilor (Considerentul 90);

 se identifică impactul posibil asupra drepturilor și libertăților persoanelor vizate în cazul unor evenimente ce includ accesul ilegal, modificările nedorite sau dispariția datelor;

 se identifică amenințările care ar putea conduce la accesul ilegal, modificarea

nedorită sau dispariția datelor;

 se estimează probabilitatea și gravitatea (Considerentul 90);

o se determină măsurile preconizate pentru atenuarea respectivelor riscuri (art. 35 (7) d) și

Considerentul 90);

 sunt implicate părțile interesate:

o se solicită avizul DPO (art. 35 (2));

o se solicită, acolo unde este cazul, avizul peroanelor vizate sau al reprezentanților acestora

(art. 35 (9)).