În 2019, Consiliul European pentru Protecția Datelor (EDPB) a emis mai multe  îndrumări cu privire la Regulamentului general de protecție a datelor (GDPR). Una din liniile directoarea fost o încurajare privind efectuarea unei evaluări a prelucrării datelor cu caracter personal în toate cazurile (DPIA), chiar dacă legea nu prevede obligativitatea pentru fiecare societate comercială.

Conform  îndrumărilor, o bună implementare a politicii GDPR- presupune mai multe etape obligatorii care nu numai vă feresc de o amendă, dar demonstrează profesionalism, dau încredere în ochii colaboratorilor, clienților, partenerilor.

După criteriile  noastre acestea ar fi :

1. Efectuarea unei evaluări a prelucrării datelor cu caracter personal (DPIA). Este considerat obligatoriu înainte de efectuarea unei prelucrări sau ori de câte ori se prelucrează un alt set de date personale, decât cele inițiale. Este documentul de bază în momentul controlului efectuat de autorități, stabilește modul de prelucrare, obligativitatea sau lipsa oblighativității unui set de date personale, necesitatea unui DPO, evaluează datele care sunt puse la dispoziție Operatorului/ Persoanelor Împuternicite.
2. Conformarea politicilor interne, contractelor cu prevederile GDPR. Aici nu ne referim doar la politica de confidențialitate, de cookies și la Termenii Generali, care apar pe site, ci modificarea tutror politicilor din cadrul societății, și inclusiv al prevederilor contractuale.
3. Comunicarea clienților despre prelucrare și modul de prelucrare, și de a le obține consimțământul. Aici este greșeala cea mai des întâlnită în practică,  mulți presupun că în momentul în care se intră în contact, persoanele fizice, sau juridice reprezentate prin persoane fizice automat își dauîn mod automat  consimțământul.
4. Comunicarea drepturilor consumatorului- stabilirea persoanelor împuternicite care informează asupra drepturilor persoanlelor fizice ale căror date au fost prelucrate, aici intrând și reglementările privind consimțământul persoanelor vizate, retragerea, ștergerea datelor, etc.
5. Modificarea statusului colaboratorilor, analizarea dacă societatea, sau colaboratorii prelucrează pentru ei date cu caracter personal, și încheierea unui contract de persoană Împuternicită având la bază prevderile GDPR.
6. Dpo externalizat– un Responsabil cu Protectia Datelor Personale (DPO) pe care multe companii si organizatii sunt obligate sa îl aibă, și despre care am vorbit într-un alt articol precedent (https://fuloplawyers.com/2019/11/dpo/)
7. Securizarea bazelor de date personale – prin mai multe metode de IT- criptare, mascare, sisteme de back-up, ștergerea datelor, etc.

Ce este un DPIA?

DPIA ( Data Protection Impact Assessment ) sau EIPD ( Evaluarea Impactului protecției Datelor cu caracter personal) așa cum se înțelege chiar din titlu, este un document complex care evaluează impactului protecției datelor personale în cadrul unei companii, indiferent de statul acestuia de Operator, Persoană Împuternicită.

DPIA este o modalitate de analiză sistematică și cuprinde tot procesul societății comerciale evaluate, operațiunile de prelucrare, datele cu caracter personal prelucrate, temeiul juridic al prelucrării, necesitatea prelucrării, acordul persoanelor vizate, modul de folosire ale datelor cu caracter personal, împuterniciții, sistemul de stocare, durata stocării,
sistemul de securizare ale datelor cu caracter personal, responsabilul cu securitatea datelor cu caracter personal (DPO), prevederile contractuale existente privind GDPR, etc.

După identificarea datelor necesare în scopul evaluării, care în cadrul implementărilor pe care le-am desfășurat până în prezent, a presupus completarea unui chestionar de la 30-100 de întrebări în funcție de domeniul societății, accentul este pus pe potențialul de daune.

Daunele trebuie evaluate pentru persoanele vizate sau pentru societate în general, indiferent dacă este fizic, material sau nematerial.

Pentru a evalua nivelul de risc, DPIA trebuie să ia în considerare atât probabilitatea, cât și gravitatea oricărui impact asupra persoanelor, dacă riscurile sunt proporționale cu scopul, cum sunt atenuate riscurile, existența riscurilor reziduale, modalitatea de comunicare a acestora cu Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal  (ANSPDCP) etc.

Ce beneficii aduce companiilor?

O evaluare  eficientă, un DPIA efectuat corect, poate aduce, de asemenea, beneficii de conformitate, de finanțare și de reputație mai largă, ajutându societățile  să demonstreze  responsabilitate și să construiască încredere și implicare în relația lor cu persoanele fizice.

Un DPIA eficient poate reduce, de asemenea, costurile curente ale unui proiect, reducând la minimum cantitatea de informațiile colectate acolo și concepând procese mai simple pentru personal.

De asemenea  permite societăților o transparență asupra sistemelor pe care le folosesc, asupra personalului implicat în procesarea datelor cu caracter personal, și poate înlesni remedierea unor nereguli într-un stadiu incipient, aducând beneficii mai largi atât pentru persoane, cât și pentru organizație.

Cine efectuează DPIA?

DPIA trebuie efectuat de către Operator și experții acestuia în domeniul juridic și informatic, de către Persoanele Împuternicite pentru datele prelucrate pentru Operator, și în colaborare cu DPO.

Acesta din urmă nu are obligația de a efectua evaluarea, însă trebuie să –l implementeze și să se asigure că principiile stabilite acolo sunt respectate.

În practică, chiar dacă mulți au considerat că nu este necesar existența DPIA, în realitate fără evaluarea inițială și complexă prevăzută de DPIA, o prelucrare nu poate fi eficientă, și abia în momentul efectuării DPIA va exista o tarnsparență privind categoria de date prelucrate, obligativitatea acestora, modalitatea de prelucrare, persoanele împuternicite. etc.

Chiar dacă mulți antreprenori au avut dubii privind efectuarea unui DPIA, datorită costurilor, oricât de costisitor ar fi procesul inițial de aliniere  la prevderile GDPR, este importantă investiția  pentru a nu suporta repercusiunile unei amenzi de până la 20 de milioane de euro sau până la 4% din cifra de afaceri mondială (în funcție de care sumă este mai mare).