Оценка на въздействието (DPIA) по GDPR – кога е задължителна и как се прави?

Когато пускам нова услуга, въвеждам технология за разпознаване на лица или започвам мащабно обработване на здравни данни, GDPR ме задължава да направя нещо повече от обичайното – да оценя предварително рисковете за правата и свободите на хората. Това се нарича Оценка на въздействието върху защитата на данните (на английски: Data Protection Impact Assessment, или накратко DPIA). В тази статия ще обясня какво е DPIA, кога е задължителна, как се провежда и каква е ролята на длъжностното лице по защита на данните.

Какво е DPIA (оценка на въздействието върху защитата на данните)?

DPIA е структурирана процедура за предварителна оценка на риска, която извършвам преди да започна определен вид обработка на лични данни. Целта е да идентифицирам, оценя и минимизирам рисковете, свързани с обработката, преди те да са се материализирали.

Оценката на въздействието DPIA не е просто формалност. Тя е инструмент за отговорно вземане на решения – помага ми да разбера дали планираната обработка е пропорционална, необходима и законосъобразна, и дали защитавам достатъчно хората, чиито данни обработвам.

Задължението произтича от чл. 35 от GDPR. Нарушаването му може да доведе до глоба до 10 000 000 евро или до 2% от общия годишен световен оборот – в зависимост от това, коя сума е по-висока.

Кога е задължителна оценката на въздействието по GDPR?

DPIA е задължителна, когато планираната обработка е „вероятно да породи висок риск за правата и свободите на физическите лица." Регламентът посочва три основни хипотези, при които оценката на риска GDPR е задължителна:

1. Систематична и мащабна оценка на лични аспекти (профилиране)

Когато използвам автоматизирана обработка, включително профилиране, за да вземам решения с правно действие или значително влияние върху физически лица. Пример: скоринг на кредитоспособност в банка, автоматизирана оценка на служители за назначаване/уволнение, алгоритмично ценообразуване въз основа на поведение.

2. Мащабно обработване на специални категории данни

Когато обработвам в голям мащаб данни за здравословно състояние, расов или етнически произход, политически възгледи, религиозни убеждения, биометрични или генетични данни, данни за сексуален живот или за присъди и правонарушения.

3. Систематично наблюдение на обществени места в голям мащаб

Например видеонаблюдение на голям търговски център, изграждане на мрежа от камери в жилищен район, или следене на движението на хора чрез мобилни приложения.

В допълнение, надзорните органи (в България – Комисията за защита на личните данни, КЗЛД) могат да публикуват списъци с дейности, при които DPIA е задължителна или не е необходима. Препоръчвам редовно да проверявам актуалните насоки на КЗЛД.

Ориентировъчни критерии за висок риск

Европейският комитет по защита на данните е дал указания, според които наличието на два или повече от следните критерии обичайно изисква DPIA:

• Оценяване или скориране;
• Автоматизирано вземане на решения с правен или значителен ефект;
• Систематично наблюдение;
• Чувствителни данни или данни от особено личен характер;
• Данни, обработвани в голям мащаб;
• Съпоставяне или комбиниране на масиви от данни;
• Данни за уязвими лица (деца, пациенти, лица в неравностойно положение);
• Новаторско използване на технологии;
• Обработката сама по себе си не позволява на субектите да упражнят правата си или да потърсят помощ.

Какво съдържа оценката на въздействието DPIA?

Съгласно чл. 35, ал. 7 от GDPR, DPIA трябва да включва поне следните елементи:

1. Систематично описание на планираните операции по обработване и целите им, включително легитимният интерес (ако се прилага);
2. Оценка на необходимостта и пропорционалността на операциите по обработване спрямо целите;
3. Оценка на рисковете за правата и свободите на субектите на данни;
4. Мерките за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защита на личните данни.

На практика оценката на въздействието обикновено включва и:

• Описание на категориите данни и субекти;
• Правното основание за обработката;
• Сроковете за съхранение;
• Идентификация на всички получатели и обработващи лица;
• Матрица за оценка на вероятността и тежестта на рисковете;
• Планираните технически и организационни мерки (криптиране, псевдонимизация, контрол на достъпа и др.);
• Документация за консултация с DPO и, при необходимост, с КЗЛД.

За повече информация относно задълженията ми като администратор препоръчвам да прочета Какви са новите правила за защита на лични данни (GDPR)?

Каква е ролята на DPO при DPIA?

Длъжностното лице по защита на данните (DPO – Data Protection Officer) играе ключова роля в процеса на DPIA. Съгласно чл. 35, ал. 2 от GDPR, администраторът е длъжен да поиска съвета на DPO, когато провежда оценка на въздействието.

Конкретно DPO трябва да:

• Консултира по необходимостта от DPIA и нейния обхват;
• Съдейства при определяне на методологията;
• Оценява дали рисковете са правилно идентифицирани и оценени;
• Препоръчва мерки за минимизиране на рисковете;
• Проверява дали DPIA е изготвена правилно и дали изводите са обосновани;
• Следи за изпълнението на мерките след приключване на оценката.

Важно: DPO не носи лична отговорност за DPIA – отговорността е на администратора. DPO само консултира и наблюдава.

Ако нямам DPO, а GDPR ме задължава да назнача такъв (защото съм публичен орган, обработвам мащабно чувствителни данни или правя систематично наблюдение), трябва незабавно да наредя. Мога да намеря повече информация за задълженията ми като администратор в Общите указания за регистрация като администратор на лични данни.

Кога трябва да се консултирам с КЗЛД преди обработката?

Има случаи, в които DPIA не е достатъчна и трябва да проведа предварителна консултация с КЗЛД (чл. 36 от GDPR). Това е необходимо, когато след DPIA установя, че обработката ще породи висок риск, въпреки мерките, които планирам да предприема.

С други думи: ако след DPIA остават значителни неконтролируеми рискове, не мога просто да продължа. Трябва да се консултирам с регулатора.

При предварителна консултация трябва да предоставя на КЗЛД:

• Пълния DPIA доклад;
• Информация за ролите на администратора и обработващото лице;
• Целите и средствата на обработката;
• Предвидените мерки за защита;
• Данните за контакт с DPO.

КЗЛД трябва да отговори в срок от 8 седмици (може да удължи до 14 седмици при сложни случаи). Ако не отговори – обработката може да продължи. Ако даде препоръки – трябва да ги изпълня или да обосновам защо не го правя.

Кога DPIA не е задължителна?

DPIA не се изисква при всяка обработка – само при тази с „висок риск". Ако обработвам данни на малък брой служители за стандартни HR цели, управлявам клиентска база данни за директна поща без профилиране, или обработвам данни за единична медицинска консултация – вероятно не ми е необходима DPIA.

Важно е обаче да документирам решението си, че DPIA не е необходима – в случай на проверка от КЗЛД трябва да мога да го обосновам.

Как да подходя практически към DPIA?

Ето стъпките, които следвам при провеждане на оценка на въздействието:

1. Определям нужно ли е DPIA – прилагам критериите за висок риск;
2. Описвам обработката – какви данни, за каква цел, на кои лица, от кого;
3. Консултирам се с DPO – преди и по време на процеса;
4. Оценявам необходимостта и пропорционалността – мога ли да постигна целта с по-малко данни?
5. Идентифицирам и оценявам рисковете – за права и свободи на субектите;
6. Планирам мерките за минимизиране – технически и организационни;
7. Документирам всичко и съхранявам DPIA доклада;
8. При необходимост се консултирам с КЗЛД;
9. Преразглеждам DPIA редовно – при промяна в обработката или в рисковия профил.

За цялостното въвеждане на GDPR в моя бизнес – включително правилното провеждане на DPIA и изграждането на вътрешни процедури – мога да използвам GDPR наръчник за бизнеса от Advokatami.bg.

Примери за случаи, при които DPIA е задължителна

• Въвеждане на система за биометричен контрол на достъп в офис сграда;
• Изграждане на платформа за здравословно проследяване чрез носими устройства;
• Разработване на приложение за кредитен скоринг на частни лица;
• Внедряване на система за видеонаблюдение с разпознаване на лица;
• Мащабна маркетингова платформа, която профилира потребители въз основа на онлайн поведение;
• Болнична информационна система, обработваща здравни данни на хиляди пациенти.

Оценката на въздействието DPIA е не само правно задължение, но и добра бизнес практика. Тя ми помага да изградя доверие с клиентите и партньорите си, да избегна скъпоструващи проблеми с регулатора и да демонстрирам отговорно отношение към личните данни. За подготовка на вътрешни правила и политики за поверителност мога да се обърна към изготвяне на общи условия и политики.

За да съм уверен, че спазвам всички изисквания, мога да се консултирам с юрист чрез GDPR услугите на Advokatami.bg и да получа изготвяне на всички необходими политики и документи от специалисти.

Повече за правата на субектите на данни в контекста на GDPR мога да намеря в статията GDPR и лични данни – какви са правата на потребителите?