文章分类
隐私影响评估(PIA)或数据保护影响评估(DPIA)工具是与《一般数据保护条例》(GDPR第35条)一起引入的。这是指控制者有义务在开始预期数据处理之前进行影响评估并记录。可以将评估捆绑到多个处理过程中。
基本上,当处理可能对自然人的权利和自由造成高风险时,必须始终进行数据保护影响评估。必须进行评估,尤其是如果GDPR第35(3)条规定的规则示例之一相关。为了明确法律中关于进行隐私影响评估的基本义务的开放式措辞,监管机构参与其中。在初稿中,第29条工作组制定了一份十项标准的目录,表明处理对自然人的权利和自由具有高风险。例如,评分/分析、对受影响者造成法律后果的自动决定、系统监控、特殊个人数据的处理、大规模处理的数据、通过各种过程收集的数据的合并或组合、关于无行为能力者或行动能力有限者的数据、,使用更新的技术或生物识别程序,向欧盟/欧共体以外的国家传输数据,以及妨碍参与行使其权利的人的数据处理。如果处理操作仅满足这些标准之一,则隐私影响评估并非绝对必要。然而,如果满足多个标准,数据主体的风险预计会很高,并且始终需要进行数据保护影响评估。如果存在疑问且难以确定高风险,则应进行DPIA。这一过程必须至少每三年重复一次。
此外,国家监管机构必须制定并公布一份处理作业清单,该清单始终要求在其管辖范围内进行数据保护影响评估(正面清单)。他们还可以自由发布不需要隐私影响评估的处理活动列表(负面列表)。如果公司已任命数据保护专员,则在执行DPIA时必须考虑其建议。如何以及根据什么标准评估数据主体的后果和风险,在很大程度上仍然没有答案。第一个模板以ISO标准或标准数据保护模型的检查方案为指导。
Suitable GDPR articles
- Art. 5 GDPR Principles relating to processing of personal data
- Art. 35 GDPR Data protection impact assessment
- Art. 36 GDPR Prior consultation
- Art. 57 GDPR Tasks
Suitable Recitals
- (75) Risks to the Rights and Freedoms of Natural Persons
- (84) Risk Evaluation and Impact Assessment
- (89) Elimination of the General Reporting Requirement
- (90) Data Protection Impact Assessement
- (91) Necessity of a Data Protection Impact Assessment
- (92) Broader Data Protection Impact Assessment
- (93) Data Protection Impact Assessment at Authorities
- (94) Consultation of the Supervisory Authority
- (95) Support by the Processor
- (96) Consultation of the Supervisory Authority in the Course of a Legislative Process
External Links
Authorities
- European Commission ► When is a Data Protection Impact Assessment (DPIA) required? (Link)
- Article 29 Data Protection Working Party ► WP 248 – Guidelines on Data Protection Impact Assessment (DPIA) (Link)
- European Data Protection Supervisor ► Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit (Link)
- Data Protection Authority UK ► Data Protection Impact Assessments (Link)
- Data Protection Authority UK ► Guidance for UK organisations on Data Protection Impact Assessments (DPIAs) (Link)
- Data Protection Authority France ► PIA method and software (Link)
- Data Protection Authority France ► Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise (Link)
- Data Protection Authority Ireland ► Data Protection Impact Assessments (DPIA) (Link)
-
Data Protection Authority Ireland ► List of Types of Data Processing Operations which require a DPIA (Link)
- Data Protection Authority Luxembourg ► Data Protection Impact Assessment (DPIA) (Link)
- EU publications ► Handbook on European data protection law – Data protection impact assessment and prior consultation, page 179 (Link)
Expert contribution
- Bitkom ► Risk Assessment & Data Protection Impact Assessment (Link)
- ISO ► ISO/IEC 29134:2017 – Guidelines for privacy impact assessment (Link)
- IAPP ► A Process for Data Protection Impact Assessment Under the European General Data Protection Regulation (Link)
- CIPL ► Risk, High Risk, Risk Assessments and Data Protection Impact Assessments under the GDPR (Link)
- CIPL ► How Organisations can Deliver Accountability under the GDPR (Link)
- 登录 发表评论