Apa itu Penilaian Dampak Perlindungan Data (DPiA)?

Melayani

Peraturan GDPR menghapus persyaratan bagi pengontrol data untuk mendaftarkan data pribadi ke GIODO dan menggantinya dengan kewajiban untuk melakukan penilaian dampak perlindungan data. Apakah penilaian dampak untuk perlindungan data pribadi harus disiapkan oleh setiap pengusaha?

Apa yang dimaksud dengan penilaian dampak perlindungan data pribadi?

Penilaian dampak perlindungan data pribadi (juga dikenal sebagai DPiA atau penilaian dampak peraturan) adalah penilaian oleh pengontrol data apakah operasi pemrosesan data pribadi di perusahaan melibatkan risiko atau risiko tinggi pelanggaran hak-hak subjek data (mis. hak atas privasi) ).

Jika ada risiko tinggi pelanggaran keamanan informasi untuk data pribadi yang diproses di perusahaan, maka harus dilakukan DPiA, yaitu mengidentifikasi ancaman yang dapat melanggar data pribadi dan menerapkan tindakan pencegahan yang tepat yang akan mencegah atau meminimalkan risiko pelanggaran data. .

Pelanggaran perlindungan data pribadi berarti pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, modifikasi, pengungkapan yang tidak sah atau akses tidak sah ke data pribadi yang dikirimkan, disimpan, atau diproses secara tidak sengaja atau melanggar hukum.

Kegagalan untuk mematuhi persyaratan penilaian dampak perlindungan data dapat dihukum dengan denda. Di sisi lain, kegagalan untuk melakukan DPiA saat diperlukan (karena risiko tinggi pelanggaran keamanan pemrosesan data pribadi) dapat mengakibatkan penalti hingga EUR 10 juta atau, dalam kasus perusahaan, hingga 2% dari total omset tahunan, tergantung pada jumlah yang lebih tinggi.

Siapa yang perlu melakukan penilaian dampak perlindungan data?

Penilaian dampak diperlukan khususnya untuk:

  • penilaian yang sistematis, komprehensif, otomatis dari faktor-faktor pribadi, atas dasar keputusan yang dibuat yang memiliki efek hukum pada orang alami,

  • pemrosesan data pribadi sensitif berskala besar,

  • pemantauan skala besar yang sistematis dari tempat-tempat yang dapat diakses oleh publik.

Untuk memeriksa apakah DPIA diperlukan, disarankan untuk memverifikasi bahwa pemrosesan memenuhi kriteria berikut:

  • penilaian dan penilaian - pembuatan profil dan perkiraan, khususnya mengenai data seperti: kesehatan, minat, lokasi,

  • pengambilan keputusan otomatis dengan efek hukum, misalnya membuat profil pelanggan dalam hal preferensi pembelian mereka,

  • pemantauan sistematis, yang ditujukan untuk mengamati subjek data pribadi (misalnya di hotel, pompa bensin, restoran, dll.),

  • pemrosesan data pribadi yang sensitif, misalnya mengumpulkan catatan medis,

  • pemrosesan data skala besar,

  • menggunakan inovasi teknologi untuk pemrosesan data, misalnya biometrik,

  • transfer data di luar Uni Eropa.

Jika pengontrol atau perusahaan dihadapkan pada satu atau lebih situasi di atas, maka DPiA diperlukan.

Perhatian!

Adalah pengontrol data (misalnya pengusaha) yang secara independen memutuskan apakah penilaian dampak perlindungan data diperlukan.

Apa yang harus dimuat dalam penilaian dampak perlindungan data?

Penilaian dampak perlindungan data serupa kontennya dengan penilaian risiko dasar, yang akan kita baca di artikel: Penilaian risiko dalam GDPR - apakah benar-benar mengerikan? Penilaian dampak perlindungan data harus mencakup, khususnya:

  • deskripsi pemrosesan data pribadi (misalnya penghancuran, pengumpulan, dll.) dan tujuan pemrosesannya,

  • penilaian tentang perlunya pemrosesan jenis data tertentu dan indikasi apakah aktivitas berisiko tertentu dapat dihindari dan, jika tidak, indikasi tindakan pencegahan apa yang telah diambil,

  • penilaian risiko pelanggaran hak dan kebebasan subjek data pribadi,

  • tindakan yang direncanakan untuk mencegah risiko dan menunjukkan kepatuhan pemrosesan data pribadi.

DPIA mungkin memiliki lebih banyak elemen daripada data di atas, tetapi wajib untuk DPiA.

Kapan dan bagaimana melakukan penilaian dampak perlindungan data DPiA?

DPiA harus dilakukan sebelum dimulainya operasi pemrosesan (yaitu sudah dalam proses perencanaan pemrosesan data). Penilaian dampak perlindungan data (DPiA) dapat dilakukan dengan metode apa pun. GDPR hanya menunjukkan elemen penting yang harus dikandungnya (yang tercantum di judul sebelumnya).

Penilaian harus dirancang sedemikian rupa sehingga dalam hal audit dapat disampaikan kepada otoritas pengawas sesuai dengan prinsip akuntabilitas.

Perhatian!

Administrator wajib melakukan penilaian dampak perlindungan data, bersama dengan Petugas Perlindungan Data - jika ditunjuk.

Penilaian dampak perlindungan data dapat dipercayakan kepada perusahaan eksternal, tetapi pengontrol bertanggung jawab untuk itu.

Adapun operasi pemrosesan yang sudah ada sebelum GDPR mulai berlaku, maka

persiapan DPiA diperlukan jika:

  • operasi pemrosesan dapat mengakibatkan risiko pelanggaran keamanan yang tinggi,

  • ada perubahan jenis risiko.

Namun, itu harus menjadi praktik yang baik untuk terus-menerus meninjau dan memperbarui DPIA. Oleh karena itu, meskipun DPiA tidak diperlukan pada tanggal 25 Mei 2018, pengontrol data tetap perlu melakukan penilaian akuntabilitas tersebut pada waktunya.

Lembar contoh untuk DPiA - risiko


Penilaian risiko paling sering dilakukan berdasarkan kriteria yang ditetapkan oleh perusahaan, mungkin, misalnya, menilai dalam hal frekuensi atau kemungkinan terjadinya risiko tertentu serta esensi dan tingkat keparahannya.

Kapan DPIA tidak perlu dilakukan?

DPIA tidak wajib jika:

  • kecil kemungkinannya bahwa operasi pemrosesan dapat mengakibatkan risiko tinggi pelanggaran hak dan kebebasan individu,

  • sifat, ruang lingkup, dan tujuan pemrosesan serupa dengan pemrosesan yang telah dilakukan penilaian dampak,

  • operasi pemrosesan memiliki dasar hukum - yaitu ketika jenis pemrosesan tertentu diatur oleh tindakan hukum (undang-undang, peraturan),

  • operasi pemrosesan termasuk dalam daftar opsional "operasi pemrosesan yang tidak tunduk pada penilaian dampak" yang ditetapkan oleh Presiden Kantor Perlindungan Data Pribadi,

  • ketika operasi pemrosesan telah diperiksa oleh otoritas pengawas sebelum Mei 2018 dalam kondisi tertentu dan tidak berubah.

Mulai masa percobaan 30 hari gratis tanpa pamrih!

Peran Personal Data Protection Officer (DPO) di DPiA

Jika perusahaan telah menunjuk DPO, maka kewajiban untuk melakukan DPiA harus dikonsultasikan dengannya dan penilaian dampak dilakukan bersama dengannya.

Pedoman Partai Pekerja Seni. 29 yang berkaitan dengan petugas perlindungan data merekomendasikan pengontrol dan pemroses untuk meminta nasihat dari pemeriksa, antara lain, mengenai masalah berikut:

  • apakah penilaian dampak perlindungan data harus dilakukan,

  • metodologi mana yang harus digunakan saat melakukan penilaian dampak perlindungan data,

  • apakah DPIA in-house harus dilakukan atau di-outsource,

  • perlindungan apa (termasuk tindakan teknis dan organisasi) yang diterapkan untuk mengurangi ancaman apa pun terhadap hak dan kepentingan subjek data,

  • apakah DPIA telah dilakukan dengan benar dan apakah hasilnya sesuai dengan persyaratan perlindungan data (apakah akan melanjutkan pemrosesan dan perlindungan apa yang harus diterapkan).

Konsultasi sebelumnya dengan Presiden Kantor Perlindungan Data Pribadi

Jika DPiA menunjukkan bahwa ada risiko tinggi (misalnya, akses tidak sah ke data yang dapat mengancam jiwa) pelanggaran data pribadi, ketika pengontrol:

  • tidak akan menerapkan langkah-langkah minimalisasi risiko atau

  • tidak dapat cukup mengurangi risiko tersebut, atau

  • meskipun ada langkah-langkah, risikonya tetap tinggi

- sebelum memulai operasi pemrosesan, pengontrol harus melapor kepada Presiden Kantor Perlindungan Data Pribadi (PUODO). Sebagai hasil dari konsultasi, PUODO dapat mengeluarkan rekomendasi dan pedoman tentang tindakan apa yang harus diterapkan oleh administrator untuk melindungi data pribadi.

Pedoman Kelompok Kerja 29 tentang DPiA

Kelompok Kerja 29 adalah tim ahli independen yang ditunjuk berdasarkan undang-undang UE untuk mengeluarkan rekomendasi tentang penerapan GDPR. Polandia diwakili dalam kelompok kerja oleh Inspektur Jenderal untuk Perlindungan Data Pribadi.

Tugas utama Kelompok Kerja 29 adalah untuk berkontribusi pada penerapan GDPR yang seragam oleh semua negara UE dan mengeluarkan pedoman tentang penerapan ketentuan tentang perlindungan data pribadi.

Salah satu dokumen WP29 menyangkut Penilaian Dampak Peraturan “Pedoman untuk Penilaian Dampak Perlindungan Data dan Membantu Menentukan Apakah Pemrosesan“ Mungkin Berisiko Tinggi ”untuk tujuan Peraturan 2016/679”.

Dalam "Pedoman", Grup menyarankan kriteria mana yang harus dipertimbangkan saat menyiapkan penilaian dampak perlindungan data pribadi. Selain itu, dokumen ini berisi informasi tentang, misalnya:

  • apa yang menjadi perhatian DPiA,

  • operasi pemrosesan data mana yang tunduk pada DPiA,

  • cara melakukan penilaian dampak perlindungan data pribadi,

  • kapan harus berkonsultasi dengan otoritas pengawas

  • pedoman tentang Inspektur Perlindungan Data Pribadi.

Kriteria penilaian dampak perlindungan data agar sesuai dengan GDPR

Pihak Kerja 29 mengusulkan kriteria berikut agar dapat memverifikasi bahwa DPIA dilakukan sesuai dengan persyaratan GDPR. Menurut pedoman, DPiA mematuhi GDPR jika:

  • deskripsi sistematis dari operasi pemrosesan disediakan:

    • sifat, ruang lingkup, konteks, dan tujuan pemrosesan telah diperhitungkan,

    • register berisi data pribadi, informasi tentang penerima dan jangka waktu penyimpanan data pribadi,

    • sumber daya yang dengannya data pribadi bersentuhan telah diidentifikasi (perangkat keras, perangkat lunak, jaringan, orang, studi, atau saluran transmisi studi);

  • kebutuhan dan proporsionalitas pengolahan data dinilai:

    • langkah-langkah yang direncanakan untuk diambil untuk memastikan kepatuhan terhadap peraturan ditunjukkan,

    • langkah-langkah diindikasikan yang berkontribusi pada pelestarian hak-hak subjek data:

      • menginformasikan subjek data,

      • hak untuk mengakses dan hak untuk mentransfer data,

      • hak untuk memperbaiki dan menghapus data,

      • hak untuk menolak dan hak untuk membatasi pemrosesan,

      • hubungan dengan prosesor,

      • pengamanan untuk transfer data internasional;

  • kegiatan yang dilakukan dalam pengelolaan risiko pelanggaran hak dan kebebasan subjek data:

    • sumber, sifat, spesifisitas dan tingkat keparahan risiko telah diperhitungkan,

    • sumber risiko telah diperhitungkan,

    • kemungkinan konsekuensi dari risiko telah diidentifikasi,

    • ancaman terhadap keamanan data pribadi telah diidentifikasi

    • kemungkinan dan tingkat keparahan risiko diperkirakan,

    • langkah-langkah yang direncanakan untuk diambil untuk mengatasi risiko diidentifikasi.