O evaluare a impactului privind protecția datelor (DPIA) îi ajută pe operatorii de date să identifice cea mai eficientă modalitate de a-și respecta obligațiile GDPR și de a reduce riscurile de vătămare a persoanelor prin utilizarea greșită a datelor lor personale.
Consecințele
Neefectuarea unei DPIA sau eșecurile procesului pot duce la o amendă administrativă de până la 10 milioane de euro sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri anuală totală la nivel mondial a exercițiului financiar precedent, oricare dintre acestea este mai mare.
In Norvegia autoritatea de protecție a datelor a impus o amendă de aproape 47.000 de euro unui consiliu orășenesc în legătură cu aplicația sa de învățare digitală. Consiliul a comunicat informații legate de sănătate între școală și casă prin intermediul aplicației, dar a fost instituită o securitate insuficientă pentru a evita ca utilizatorii să acceseze datele personale ale altora din grupul lor. Nu a fost efectuată nicio evaluare a riscurilor, DPIA sau testare înainte de lansarea aplicației.
În mai 2020, o companie din Finlanda a fost amendată cu 16.000 EUR pentru că nu a întreprins o DPIA înainte de a procesa datele de locație ale angajaților săi prin urmărirea vehiculelor.
Articolul 35 din Regulamentul (UE)679/2016 conține o obligație pentru Operatorii de date de a efectua o DPIA înainte de a efectua o prelucrare a datelor cu caracter personal care ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor. Efectuarea unei DPIA nu este obligatorie pentru fiecare operațiune de prelucrare a datelor cu caracter personal.
Ce cazuri vor implica procesare cu „risc ridicat” care ar putea necesita un DPIA?
Un operator de date are obligația să efectueze un DPIA dacă intenționează să:
- utilizeze tehnologii noi
- utilizeze date de profilare sau categorii speciale pentru a decide cu privire la accesul la servicii;
- proceseze datelor biometrice;
- proceseze date genetice;
- urmărească locația sau comportamentul persoanelor;
- profilați copiii sau vizați servicii de marketing sau online la aceștia; sau
- procesează date care ar putea pune în pericol sănătatea fizică sau siguranța persoanei în cazul unei încălcări a securității.