Nu scriu într-o anumită ordine despre GDPR pentru că nu mi-am propus așa ceva. Consider întreaga discuție pe acest subiect ca fiind foarte importantă: mi se pare că deja am intrat în ceasul al 12 lea chiar dacă pînă în mai 2018 mai este ceva timp.

Am dat ca exemplu Riscul asociat operațiunilor de prelucrare în GDPR sau Dreptul de a fi uitat. Astăzi împartășesc cîteva opinii despre evaluarea asupra impactului.

Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. – Art. 35 alin (1)

Constatăm deci că, în anumite situații, evaluarea impactului este obligatorie iar unii operatori vor avea mai mult de muncit decît alții.  Nu este vorba despre un document ca multe alte documente (să spunem ca cele de prin ISO-uri 🙂 ) deoarece:

• operatorul solicită avizul responsabilului cu securitatea;
• se face înainte de a începe activitățile de prelucrare;
• autoritatea de supraveghere întocmește o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a imapctului asupra protecției datelor

Evaluarea conține cel puțin:

(a) o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;

(b) o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

(c) o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate la alineatul (1); și

(d) măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal

După cum am scris și cu altă ocazie, personal consider că este foarte mult de muncă: juridic, economic, IT….

O evaluare a impactului realizată „pe bune„ ar trebui să identifice problemele din fazele incipiente ale proiectului de asigurare a conformității. Această evaluare este parte integrantă a ceea ce este definit ca „protecția datelor începând cu momentul conceperii„ –  Art. 25 (privacy by design) și ar trebuie să fie un element de bază pe care se fundamentează  deciziile de achiziție a soluțiilor tehnice.

Să privim lucrurile invers: dacă apare o breșă, aceasta trebuie notificată. Breșa este rezultatul lipsei unui control/măsuri de securitate iar lipsa controlului este rezultatul unei evaluări superficiale.