Legal For

LAW FIRM

 

Focused on relationships, driven by results

 

Contactați-ne pentru a afla mai multe despre serviciile oferite de LEGAL FOR și despre cum vă putem ajuta să vă atingeți obiectivele în business.

 

 

E-mail: office@legal-for.ro
17 Virgil Madgearu street
300019 Timisoara, Romania

18 nov. ARTICOL 35 – EVALUAREA IMPACTULUI OPERAȚIUNILOR DE PRELUCRARE ASUPRA PROTECȚIEI DATELOR CU CARACTER PERSONAL.

Posted at 13:06h in Articole by

Privire analitică în considerarea ghidului adoptat și revizuit în 4 octombrie 2017

Două dintre principiile fundamentale reglementate de art. 5 al Regulamentului general privitor la protecția datelor, anume cel al transparenței prelucrării datelor și cel al responsabilității operatorului în raport cu modul în care prelucrarea este efectuată (principiu care include obligativitatea punerii în aplicare de măsuri tehnice și organizatorice adecvate pentru a garanta și proba respectarea normelor legale în activitatea derulată), prezintă o importanță ridicată în contextul evaluării impactului prelucrării asupra protecției datelor cu caracter personal.

În contextul creat de cele două principii antemenționate, alin. 1 al art. 35 din același Regulament, prevede faptul că “având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal”.

Această evaluare, denumită în varianta originală de limbă engleză a Regulamentului, “data protection impact assessment” (denumită în continuare, pe scurt, DPIA), a surescitat numeroase discuții întrucât în practică nu erau clare situațiile în care aceasta este obligatorie și cele în care nu este.

Din perspectiva direcțiilor trasate prin ghidul adoptat la data de 4 aprilie 2017 și revizuit 7 luni mai târziu (denumit pe scurt Ghidul) de către GL 29 (înlocuit actualmente de CEPB), deoarece opiniile și recomandările acestei autorități rămân relevante în practică.

  1. Obligativitatea întocmirii unui DPIA

Potrivit art. 35 din Regulament, precum și sublinierilor repetate din cadrul Ghidului, întocmirea unei DPIA se face anterior prelucrării și doar în situațiile în care respectiva prelucrare poate genera un risc ridicat pentru drepturile și libertățile persoanelor vizate.

În acest sens, un aspect important este acela că articolul antemenționat nu se referă strict la drepturile persoanei vizate reglementate de Regulament, ci și la alte drepturi cum sunt libertatea de expresie, de libertate, de conștiință și religie, dreptul la nediscriminare etc. și deci trebuie avut în vedere și acest aspect la momentul la care se face evaluarea pentru a se decide dacă există sau nu obligativitatea întocmirii unei DPIA.

Pentru a veni în sprijinul operatorilor de date, Regulamentul indică la alin. 3 din același articol, câteva dintre situațiile în care DPIA este obligatorie, respectiv:

  1. cea în care prelucrarea implică o evaluare sistematică și cuprinzătoare a aspectelor personale le unei persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii ce produc efecte juridice sau care o afectează în mod semnificativ; sau
  1. cea în care prelucrarea se realizează pe scară largă și privește categorii speciale de date; sau
  1. cea în care prelucrarea presupune monitorizarea sistematică pe scară largă a unei zone accesibile publicului.

Mai mult, potrivit recomandărilor autorității europene din ghidul analizat și al alin. 89 și 91 din preambulul Regulamentului, putem cu siguranță adăuga un al patrulea exemplu de situație în care întocmirea unei DPIA este cu certitudine necesară, anume cel în care se dorește lansarea unui produs tehnologic nou pe piață.

De asemenea, tot pentru a oferi un cadru cât mai clar de reglementare și a fi evitate situațiile discutabile, prin Regulament se stabilește obligativitatea autorității naționale de supraveghere a prelucării datelor cu caracter personal de a întocmi și publica o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor. O atare listă nu va avea însă caracter exhaustiv și va trebui supusă analizei CEPD. Autoritatea competentă din România (anume ANSPDCP) a transmis respectiva listă în luna iulie 2019, opinia cuprinzând recomandările CEPD cu privire la conținutul acesteia fiind adoptată în 25 septembrie 2018.

Recunoscând însă că există o varietate largă a situațiilor practice, la nivel european s-a constatat necesitatea indicării unor linii directoare de care se poate ține cont în cazuri particulare, în care nu este clară obligativitatea întocmirii unei DPIA.

Astfel, cel 9 criterii prevăzute în Ghid, ce presupun existența unui ridicat pentru drepturile și libertățile persoanelor vizate, sunt:

  1. Efectuarea de evaluări sau clasificări (ex. cazul magazinelor online care crează profile ale utilizatorilor bazat pe comportamentul acestora la navigarea pe site, nelimitându-se la oferirea de publicitate țintită sau informări scurte zilnice);
  2. Efectuarea de decizii automate;
  3. Monitorizarea sistematică;
  4. Prelucrarea datelor sensibile sau relevate din documente foarte personale (ex. cazul spitalelor sau al detectivilor particulari – nu însă și cel al avocaților sau cabinetelor medicale individuale, aceste categorii de operatori fiind exceptate conform ghidului elaborat de GL 29);
  5. Prelucrarea datelor pe scară largă (noțiune ce nu este definită de Regulament, dar care este explicată cu exemple într-o altă opinie a GL 29);
  6. Potrivirea sau combinarea seturilor de date;
  7. Prelucrarea datelor privitoare la persoane vulnerabile (ex. copii, angajații monitorizați în mod sistematic, pacienții din studiile clinice, bătrânii);
  8. Aplicarea de soluții tehnologice sau organizaționale inovative (ex. folosirea amprentei digitale și a recunoașterii faciale);
  9. Prelucrarea impiedică persoanele vizate să își exercite un drept sau să folosească un serviciu ori să acceseze un contract (ex. banca decide dacă refuză sau acordă un credit în urma folosirii unui indice dintr-o bază de date).

Adesea, îndeplinirea a cel puțin două dintre criterii mai sus enumerate va genera obligativitatea întocmirii unei DPIA, însă pot exista și situații în care chiar și un criteriu are același efect.

Prin urmare, o decizie de neefectuare a unei atare evaluări deși criteriile sunt îndeplinite, va trebui să aibă la bază motive bine întemeiate. Mai mult, GL 29 consideră că în toate cazurile în care nu este clar dacă o DPIA este obligatorie sau nu, o astfel de evaluare va trebui efectuată.

  1. Cuprinsul DPIA

Conform art. 35 alin. 7 și alin. 84 și 90 din preambulul GDPR, o DPIA va cuprinde cel puțin:

  1. o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
  2. o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;
  3. o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate;
  4. măsurile preconizate în vederea abordării riscurilor. Orice aderare la coduri de conduită aprobate, certificări, atestări, implementare de reguli corporatiste obligatorii, vor fi avute în vedere și considerate a fi măsuri de asigurare a conformării la normele Regulamentului.

DPIA poate viza o activitate de prelucrare a datelor sau un set de operațiuni de prelucrare dacă acestea sunt similare și prezintă riscuri ridicate în mod similar, cu mențiunea că în acest ultim caz, conform recomandărilor GL 29, ar trebui să existe o justificare documentată pentru faptul că s-a decis întocmirea unei singure DPIA.

  1. Revizuirea DPIA

Revizuirea DPIA va trebui făcută la fiecare modificare a riscurilor prelucrării, a condițiilor de implementare sau a scopurilor, ținând cont de faptul că securitatea datelor trebuie păstrată într-un mediu aflat în continuă schimbare.

Așadar, efectuarea unei DPIA reprezintă un proces continuu de-a lungul procesului de prelucrare a datelor, iar nu un demers unic.

  1. Competențe de întocmire a DPIA

Raportat la persoanele care trebuie să întocmească o DPIA, precizăm că operatorul este cel direct responsabil. De asemenea, un DPIA poate fi întocmit de doi operatori de date asociați, caz în care se va indica în mod expres rolul și responsabilitățile fiecăruia din ei în raport cu acea prelucrare.

Întocmirea unei DPIA poate fi efectuată de unul dintre angajații operatorului cu competențe în acest sens, sau de către un terț contractat, ori chiar de către persoana împuternicită, însă ofițerul de protecția datelor desemnat de operator va fi în toate cazurile informat, recomandările sale fiind luate în considerare.

Un aspect important cu privire la acest aspect îl constituie și dispozițiile art. 35 alin. 9 din GDPR, conform cărora operatorul va solicita, dacă este cazul, avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, prin diverse mijloce precum chestionare generice. Dacă rezultatul avizului diferă de decizia operatorului, decizia acestuia va trebui justificată, la fel ca în cazul în care consideră că nu este necesară consultarea persoanelor vizate deoarece, spre exemplu, ar afecta confidențialitatea planului de business al operatorului sau ar implica demersuri disproporționate.

De asemenea, atunci când un operator de date constată că nu poate implementa suficiente măsuri de securitate astfel încât să reducă riscul la care sunt supuse drepturile persoanelor vizate la un nivel acceptabil, este necesară consultarea autorității de supraveghere.

  1. Publicarea DPIA

Deși analizând dispozițiile Regulamentului, ar părea că publicarea DPIA după întocmire nu este obligatorie, trebuie avută în vedere recomandarea GL 29 de a publica cel puțin părți ale DPIA (un sumar sau doar concluziile) în scopul asigurării transparenței prelucrării datelor și clădirii încrederii în raport cu persoanele vizate.

Obligația de comunicare a DPIA către autoritatea de supraveghere în cazul în care consultarea acesteia este necesară, rămâne oricum aplicabilă.