Am mai scris: GDPR suferă la capitolul consistența termenilor. Mai vin apoi și opiniile și ghidurile WP29 care, pe alocuri, mai mult aduc ceață în loc să o elimine. Cel puțin pentru mine…Îi invidiez pe toți cei care au citit Regulamentul și nu au dileme, nici măcar teoretice :). În practică văd că cei mai mulți se descurcă….
Despre PIA – Privacy Impact assessment, știam că înseamnă „evaluarea impactului asupra vieții private„. Și în limba franceză este tradus la fel: Evaluation des facteurs relatifs à la vie privée.
În ISO 29100: Privacy framework, avem următoarea definiție:
privacy risk assessment – overall process of risk identification, risk analysis and risk evaluation with regard to the processing of personally identifiable information (PII).
NOTE This process is also known as a privacy impact assessment.
Avem și ISO 29134: Guidelines for privacy impact assessment:
privacy impact assessment – PIA: overall process of identifying, analysing, evaluating, consulting, communicating and planning the treatment of potential privacy impacts with regard to the processing of personally identifiable information, framed within an organization’s broader risk management framework
Citim însă Articolul 35 – Evaluarea impactului asupra protecției datelor din GDPR și vine prima întrebare: al cui impact îl evaluăm? Răspunsul vine în textul articolului:
o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal.
Evaluăm deci impactul „operațiunilor de prelucrare„. Care sînt aceste operațiuni? Cele din definiția de la Art. 4 (2): colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
DPIA – Data Protection Impact Assessment nu este definit în GDPR ci în WP 248 rev. 01
DPIA este un proces conceput pentru a descrie prelucrarea, a evalua necesitățile și proporționalitățile acesteia și a contribui la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor fizice care rezultă din prelucrarea datelor cu caracter personal, prin evaluarea acestora și stabilirea de măsuri pentru soluționarea lor.
Nota de subsol 2: Termenul „evaluarea impactului asupra vieții private” (PIA) este adesea utilizat în alte contexte pentru a se face referire la aceeași noțiune.
Notă pagina 20: DPIA din cadrul GDPR este un instrument de gestionare a riscurilor pentru drepturile persoanelor vizate și, prin urmare, preia perspectivele acestora, astfel cum este cazul în anumite domenii (de exemplu, securitatea socială). Dimpotrivă, gestionarea riscurilor în alte domenii (de exemplu, securitatea informațiilor) se concentrează asupra organizației.
Din toate cele amintite pînă acum rezultă că PIA este același lucru cu DPIA.
Prin ce diferă însă (D)PIA de evaluarea riscurilor? Fundamental, aproape prin nimic!
De exemplu, evaluarea riscurilor se face într-un context dat (Vezi ISO 31000 – Understanding organization and its context)? Bineînțeles. Dar și DPIA trebuie să includă un „context„ (Anexa 2, pg. 26):
este furnizată o descriere sistematică a prelucrării [articolul 35 alineatul (7) litera (a)]:
- natura, domeniul de aplicare, contextul și scopurile prelucrării sunt luate în considerare (considerentul 90);
- sunt înregistrate datele cu caracter personal, destinatarii și perioada pentru care datele cu caracter personal vor fi stocate;
- este furnizată o descriere funcțională a operațiunii de prelucrare;
- sunt identificate activele pe care se bazează datele cu caracter personal (hardware, software, rețele, persoane, hârtia sau canalele de transmisie a hârtiei);
- respectarea codurilor de conduită aprobate este luată în considerare [articolul 35 alineatul (8)];
Mențiune: discutăm despre o evaluare a riscurilor la adresa „drepturilor și libertăților persoanei vizate„ și nu despre riscuri de securitate IT:
În ceea ce privește gestionarea riscurilor, evaluarea DPIA vizează „gestionarea riscurilor” pentru drepturile și libertățile persoanelor fizice -Ghidul WP29, pg. 19
Abordarea mea practică este următoarea:
- facem evaluarea riscurilor (altfel cum justifici „măsurile tehnice și administrative„?)
- dacă te încadrezi în una din următoarele situații:
- Evaluarea sau punctarea, inclusiv crearea de profiluri și preconizarea, în special de la „aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările”
- Luarea de decizii în mod automat cu un efect juridic sau similar semnificativ: prelucrarea care are ca scop luarea deciziilor privind persoanele vizate care produc „efecte juridice privind persoana fizică” sau care „o afectează în mod similar într-o măsură semnificativă”
- Monitorizarea sistematică: prelucrarea utilizată pentru observarea, monitorizarea sau controlul persoanelor vizate, inclusiv datele colectate prin intermediul rețelelor sau al „ unei monitorizări sistematice pe scară largă a unei zone accesibile publicului”
- Date sensibile sau date foarte personale: acestea includ categorii speciale de date cu caracter personal, astfel cum sunt definite la articolul 9 (de exemplu, informații cu privire la opiniile politice ale persoanelor), precum și date cu caracter personal referitoare la condamnări penale sau infracțiuni, astfel cum sunt definite la articolul 10.
- Datele prelucrate pe scară largă
- Corelarea sau combinarea seturilor de date, de exemplu care provin din două sau mai multe operațiuni de prelucrare a datelor efectuate în scopuri diferite și/sau de către diferiți operatori de date într-un mod care ar depăși așteptările rezonabile ale persoanei vizate
- Date privind persoanele vizate vulnerabile (considerentul 75)
- Utilizarea inovatoare sau aplicarea unor soluții tehnologice sau organizaționale noi, cum ar fi combinarea utilizării amprentei digitale și recunoașterea facială pentru îmbunătățirea controlului accesului fizic etc.
- Atunci când prelucrarea în sine „împiedică persoanele vizate să exercite un drept sau să utilizeze un serviciu ori un contract” (articolul 22 și considerentul 91).
- sau cînd va fi publicată „lista cu activități de prelucrare cu riscuri ridicate„ vom „extrage„ acele riscuri și vom proiecta un „raport„ în formatul indicat de ghidul WP29, completîndu-l cu informații din „data inventory„.
ADRIAN B. MUNTEANU 
Practic, toți angajatorii se încadrează în această categorie fiindcă fac evaluarea angajaților, au acces la date foarte personale – starea de sănătate, convingeri politice și religioase.
Apropo de angajați, două spețe interesante:
1) Eu ca angajator trebuie să transmit clienților copii după unele din actele de studii ale angajaților, ca dovadă a faptului că aceștia au competențele necesare desfășurării activității. De aici ele pot ajunge la autorități, de exemplu.
2) În cadrul auditului eu colectez și unele date care sunt încadrate ca fiind cu caracter personal. Dacă este o misiune de audit în baza unui contract direct, lucrurile sunt clare. Dar dacă misiunea este la solicitarea unui terț? Mă încadrez ca persoană împuternicită sau sunt eu cel care prelucrează datele (deoarece este posibil ca unele nici să nu ajungă la cel care a comandat misiunea de audit?
ApreciazăApreciază
Cristi,
Reformulez (posibil să nu fie clar pentru unii dintre cei care ajung pe blog și nu au avut tangență cu securitatea, riscurile etc).
La nivel de principii, ce spune GDPR despre securitatea datelor personale nu diferă de securitatea IT: tot la riscuri ajungem. Pentru că nu trăim în Rai, ne asumăm riscuri. Asta facem, dincolo de frămîntările academice. Exemplul cel mai bun este comportamentul organizațiilro prin raportare la L677: riscul fiind mic (amenda), a fost asumat. Costurile de conformare erau, pentru unele organizații, mai mari decît riscul.
Business as usual, cum ar spune rusul :).
Să luăm următorul caz ipotetic, dar real.
O companie nu are suficiente controale prin care se asigură că Procedura privind retenția datelor este respectată. Rezultatul este că datele personale nu vor fi șterse atunci cînd le vine sorocul. Se confruntă organizația cu riscuri? Cu siguranță da, pentru că nu respectă prevederile GDPR. Acesta va fi un „risc de neconformitate„ și „impactul„ asupra organizației va fi decis de Autoritate.
Există și un impact asupra persoanei vizate? Există, dar îl vom cuantifica în mod subiectiv ca fiind redus. Ce daune „morale, materiale sau fizice„ provoci persoanei vizate?
În aceeași organizație există acum situația în care, în lipsa unor controale tehnice, o parte din datele personale ale clienților sînt copiate în mod neautorizat.Există un impact asupra organizației? Da, exact ca în situația anterioară.
Există un impact asupra persoanei vizate? Da, dar de această dată, în funcție de ce date au fost copiate, impactul asupra persoanei vizate este posibil să nu mai fie „redus„.
Legat de ceele două exemple:
1. Cred că te afli în situația „executării unui contract„.
2. Ești operator. Pentru că în timpul unei misiuni de audit tu ești cel care decizi ce date colectezi și cum le prelucrezi. Nu faci audit sub „comanda„ celui care te-a angajat (dacă nu este auditul făcut de autoritățile de certificare).
ApreciazăApreciază
Apropo de consistența termenilor. Dacă interpretăm mecanic evidența activităților de prelucrare, toate companiile vor fi blocate în birocrație. Dacă trebuie să stea zilnică să treacă în carnețel toate prelucrările de date, nu mai are timp pentru activitatea proprie. Ai niște agenți de vânzări care contactează clienții/prospecții. Ai trimis niște oferte. Ai făcut un audit. De asemenea, la articolul 30, aliniatul 1 se cam bate cu aliniatul 2. Din punct de vedere practic, mai logic este aliniatul doi, în care să ții evidența categoriilor activităților de prelucrare, nu să stai zilnic să completezi în carnețel pe cine ai contactat sau ce date ai colectat…
ApreciazăApreciază