Ο GDPR απαιτεί μια Εκτίμηση Αντικτύπου σχετικά με την Προστασία Δεδομένων για κάθε επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Το SYAGA DPIA-Express δομεί και τεκμηριώνει την DPIA σας σύμφωνα με τη μεθοδολογία του άρθρου 35 και τις κατευθυντήριες γραμμές του ΕΣΠΔ, χωρίς αυτοσχεδιασμό και χωρίς ορολογία.
Προσδιορίστε αν η επεξεργασία σας πρέπει να υποβληθεί σε DPIA, και στη συνέχεια εκτελέστε την σύμφωνα με τους κανόνες
Κάθε επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων πρέπει να υποβάλλεται σε Εκτίμηση Αντικτύπου σχετικά με την Προστασία Δεδομένων πριν από την εφαρμογή της (GDPR, άρθρ. 35).
Το ΕΣΠΔ (πρώην Ομάδα Εργασίας του Άρθρου 29, WP29), στις κατευθυντήριες γραμμές του WP248 rev.01, όρισε 9 κριτήρια υψηλού κινδύνου. Μόλις μια επεξεργασία πληροί τουλάχιστον δύο από αυτά τα κριτήρια, πρέπει καταρχήν να διεξαχθεί DPIA: ένα και μόνο εσφαλμένα εκτιμημένο κριτήριο, και ο φάκελος είναι ελλιπής.
Η CNIL (η γαλλική αρχή προστασίας δεδομένων) δημοσιεύει λίστες επεξεργασιών για τις οποίες απαιτείται ή δεν απαιτείται DPIA. Ο ακριβής προσδιορισμός του πού εντάσσεται η επεξεργασία σας απαιτεί μια αυστηρή ανάγνωση, όχι μια γενική εντύπωση.
Η διεξαγωγή μιας DPIA πολύ βιαστικά σας εκθέτει σε ελλιπή τεκμηρίωση ενώπιον εποπτικής αρχής· η μη διεξαγωγή της όταν απαιτείται εκθέτει τον οργανισμό σε παραβίαση του Άρθρου 35. Η μέθοδος της CNIL δομεί αυτή την απόφαση και την τεκμηριώνει.
Η δομή που απαιτείται από το Άρθρο 35.7 του GDPR, εφαρμοσμένη στην επεξεργασία σας, με ένα αιτιολογημένο συμπέρασμα σε κάθε βήμα
Ανάλυση βάσει των 3 περιπτώσεων του Άρθρου 35.3, της κλίμακας 9 κριτηρίων του ΕΣΠΔ (WP248 rev.01), και των λιστών της CNIL για επεξεργασίες που απαιτούνται ή δεν απαιτούνται. Αιτιολογημένο συμπέρασμα, ανεξάρτητα αν η DPIA είναι τελικά υποχρεωτική ή όχι.
Σκοποί, κατηγορίες δεδομένων και υποκειμένων δεδομένων, αποδέκτες, περίοδοι διατήρησης: η πλήρης χαρτογράφηση που απαιτείται από το Άρθρο 35.7.α, σε συνέπεια με το μητρώο επεξεργασιών σας (άρθρ. 30).
Επαλήθευση ότι κάθε δεδομένο που συλλέγεται είναι αναγκαίο για τον επιδιωκόμενο σκοπό, ότι η νομική βάση (άρθρ. 6) έχει προσδιοριστεί για κάθε επεξεργασία, και ότι η αρχή της ελαχιστοποίησης δεδομένων (άρθρ. 5.1.γ) τηρείται.
Για κάθε εντοπισμένο κίνδυνο: σοβαρότητα, πιθανότητα, ήδη υπάρχοντα μέτρα, υπολειπόμενος κίνδυνος, παρουσιαζόμενα ως πίνακας χρησιμοποιήσιμος από τη διοίκηση ή τον DPO σας.
Τεχνικά και οργανωτικά μέτρα που προβλέπονται (άρθρ. 32), αιτιολογημένο συμπέρασμα και τεκμηριωμένη δικαιολόγηση στο πλαίσιο της αρχής της λογοδοσίας (άρθρ. 5.2), έτοιμα προς χρήση σε περίπτωση ελέγχου από την CNIL.
Ένα δομημένο, τεκμηριωμένο έγγραφο, ειλικρινές σχετικά με το τι χρειάζεται ακόμη επικύρωση από τον δικηγόρο ή τον DPO σας
Το πλήρες έγγραφο σύμφωνα με το Άρθρο 35.7 (α έως δ), με ένα αιτιολογημένο συμπέρασμα.
Η προκαταρκτική ανάλυση που αποφασίζει αν η επεξεργασία σας εμπίπτει στο πεδίο εφαρμογής της υποχρέωσης.
Η DPIA βασίζεται στην ίδια θεμελίωση με το μητρώο επεξεργασιών σας.
Κάθε σημείο αβεβαιότητας επισημαίνεται ρητά, ποτέ δεν αποφασίζεται εκ μέρους σας.
Κάθε νομικός ισχυρισμός τεκμηριώνεται, δεν δηλώνεται από μνήμης.
Παραδίδεται σε επεξεργάσιμη μορφή, επαναχρησιμοποιήσιμη από τον DPO ή τον δικηγόρο σας.
Μια μέθοδος βασισμένη σε κείμενα και αρχές, όχι σε εσωτερικές ερμηνείες
Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων. Ενοποιημένο κείμενο του Κανονισμού (ΕΕ) 2016/679 (EUR-Lex, CELEX 32016R0679).
Τα 9 κριτήρια υψηλού κινδύνου του ΕΣΠΔ (πρώην Ομάδα Εργασίας του Άρθρου 29), υιοθετημένα από την CNIL ως τη μέθοδο αναφοράς για τον προσδιορισμό της υποχρέωσης DPIA.
Λίστες επεξεργασιών για τις οποίες απαιτείται ή δεν απαιτείται DPIA, και η μέθοδος της CNIL για τη διεξαγωγή μιας εκτίμησης αντικτύπου.
Μητρώο επεξεργασιών: η θεμελίωση συνέπειας (σκοποί, δεδομένα, περίοδοι διατήρησης) στην οποία βασίζεται κάθε DPIA.
Το εύρος εξαρτάται από τον αριθμό των επεξεργασιών, την πολυπλοκότητά τους, και από ό,τι ήδη τεκμηριώνεται από την πλευρά σας. Προσφορά που καθορίζεται μετά από μια αρχική συζήτηση.
Δεν γνωρίζετε αν η επεξεργασία σας αφορά
Επεξεργασία που έχει χαρακτηριστεί ως υψηλού κινδύνου
Αρκετές επικίνδυνες επεξεργασίες προς κάλυψη
Μια DPIA δεν είναι ποτέ οριστική
Το Άρθρο 35.11 του GDPR απαιτεί η ανάλυση να αναθεωρείται σε περίπτωση σημαντικής αλλαγής της επεξεργασίας (νέος εκτελών την επεξεργασία, αλλαγή φιλοξενίας, επέκταση του εύρους συλλογής). Μια προσφορά αναθεώρησης καθορίζεται κατά περίπτωση.
Περιγράψτε μας την επεξεργασία σας, και θα επικοινωνήσουμε μαζί σας με μια εξατομικευμένη προσφορά.