跳转到主要内容

文章分类

隐私影响评估(PIA)或数据保护影响评估(DPIA)工具是与《一般数据保护条例》(GDPR第35条)一起引入的。这是指控制者有义务在开始预期数据处理之前进行影响评估并记录。可以将评估捆绑到多个处理过程中。

基本上,当处理可能对自然人的权利和自由造成高风险时,必须始终进行数据保护影响评估。必须进行评估,尤其是如果GDPR第35(3)条规定的规则示例之一相关。为了明确法律中关于进行隐私影响评估的基本义务的开放式措辞,监管机构参与其中。在初稿中,第29条工作组制定了一份十项标准的目录,表明处理对自然人的权利和自由具有高风险。例如,评分/分析、对受影响者造成法律后果的自动决定、系统监控、特殊个人数据的处理、大规模处理的数据、通过各种过程收集的数据的合并或组合关于无行为能力者或行动能力有限者的数据、,使用更新的技术或生物识别程序,向欧盟/欧共体以外的国家传输数据,以及妨碍参与行使其权利的人的数据处理。如果处理操作仅满足这些标准之一,则隐私影响评估并非绝对必要。然而,如果满足多个标准,数据主体的风险预计会很高,并且始终需要进行数据保护影响评估。如果存在疑问且难以确定高风险,则应进行DPIA。这一过程必须至少每三年重复一次。

此外,国家监管机构必须制定并公布一份处理作业清单,该清单始终要求在其管辖范围内进行数据保护影响评估(正面清单)。他们还可以自由发布不需要隐私影响评估的处理活动列表(负面列表)。如果公司已任命数据保护专员,则在执行DPIA时必须考虑其建议。如何以及根据什么标准评估数据主体的后果和风险,在很大程度上仍然没有答案。第一个模板以ISO标准或标准数据保护模型的检查方案为指导。

Suitable GDPR articles

Suitable Recitals

External Links

Authorities

  • European Commission ► When is a Data Protection Impact Assessment (DPIA) required? (Link)
  • Article 29 Data Protection Working Party ► WP 248 – Guidelines on Data Protection Impact Assessment (DPIA) (Link)
  • European Data Protection Supervisor ► Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit (Link)
  • Data Protection Authority UK ► Data Protection Impact Assessments (Link)
  • Data Protection Authority UK ► Guidance for UK organisations on Data Protection Impact Assessments (DPIAs) (Link)
  • Data Protection Authority France ► PIA method and software (Link)
  • Data Protection Authority France ► Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise (Link)
  • Data Protection Authority Ireland ► Data Protection Impact Assessments (DPIA) (Link)
  • Data Protection Authority Ireland ► List of Types of Data Processing Operations which require a DPIA (Link)

  • Data Protection Authority Luxembourg ► Data Protection Impact Assessment (DPIA) (Link)
  • EU publications ► Handbook on European data protection law – Data protection impact assessment and prior consultation, page 179 (Link)

Expert contribution

  • Bitkom ► Risk Assessment & Data Protection Impact Assessment (Link)
  • ISO ► ISO/IEC 29134:2017 – Guidelines for privacy impact assessment (Link)
  • IAPP ► A Process for Data Protection Impact Assessment Under the European General Data Protection Regulation (Link)
  • CIPL ► Risk, High Risk, Risk Assessments and Data Protection Impact Assessments under the GDPR (Link)
  • CIPL ► How Organisations can Deliver Accountability under the GDPR (Link)

本文:https://cioctocdo.com/gdpr-privacy-impact-assessment

文章链接