GDPR - ΑΡΘΡΟ 35 - ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (DPIA)

Η DPIA σας σύμφωνη
με τη μέθοδο CNIL

Ο GDPR απαιτεί μια Εκτίμηση Αντικτύπου σχετικά με την Προστασία Δεδομένων για κάθε επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Το SYAGA DPIA-Express δομεί και τεκμηριώνει την DPIA σας σύμφωνα με τη μεθοδολογία του άρθρου 35 και τις κατευθυντήριες γραμμές του ΕΣΠΔ, χωρίς αυτοσχεδιασμό και χωρίς ορολογία.

35
Άρθρο GDPR (DPIA)
9
Κριτήρια ΕΣΠΔ (WP248 rev.01)
3
Περιπτώσεις υποχρέωσης (άρθρ. 35.3)
4
Συστατικά της μεθόδου (άρθρ. 35.7 α-δ)

Η υποχρέωση

Προσδιορίστε αν η επεξεργασία σας πρέπει να υποβληθεί σε DPIA, και στη συνέχεια εκτελέστε την σύμφωνα με τους κανόνες

Το Άρθρο 35 του GDPR απαιτεί μια DPIA

Κάθε επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων πρέπει να υποβάλλεται σε Εκτίμηση Αντικτύπου σχετικά με την Προστασία Δεδομένων πριν από την εφαρμογή της (GDPR, άρθρ. 35).

📋

Ο κανόνας της CNIL «2 από τα 9 κριτήρια»

Το ΕΣΠΔ (πρώην Ομάδα Εργασίας του Άρθρου 29, WP29), στις κατευθυντήριες γραμμές του WP248 rev.01, όρισε 9 κριτήρια υψηλού κινδύνου. Μόλις μια επεξεργασία πληροί τουλάχιστον δύο από αυτά τα κριτήρια, πρέπει καταρχήν να διεξαχθεί DPIA: ένα και μόνο εσφαλμένα εκτιμημένο κριτήριο, και ο φάκελος είναι ελλιπής.

🔍

Οι λίστες της CNIL προς έλεγχο άρθρο προς άρθρο

Η CNIL (η γαλλική αρχή προστασίας δεδομένων) δημοσιεύει λίστες επεξεργασιών για τις οποίες απαιτείται ή δεν απαιτείται DPIA. Ο ακριβής προσδιορισμός του πού εντάσσεται η επεξεργασία σας απαιτεί μια αυστηρή ανάγνωση, όχι μια γενική εντύπωση.

Χωρίς μέθοδο, ο κίνδυνος είναι διπλός

Η διεξαγωγή μιας DPIA πολύ βιαστικά σας εκθέτει σε ελλιπή τεκμηρίωση ενώπιον εποπτικής αρχής· η μη διεξαγωγή της όταν απαιτείται εκθέτει τον οργανισμό σε παραβίαση του Άρθρου 35. Η μέθοδος της CNIL δομεί αυτή την απόφαση και την τεκμηριώνει.

Η μέθοδος: DPIA-Express

Η δομή που απαιτείται από το Άρθρο 35.7 του GDPR, εφαρμοσμένη στην επεξεργασία σας, με ένα αιτιολογημένο συμπέρασμα σε κάθε βήμα

1
Προσδιορισμός της υποχρέωσης

Υπόκειται πράγματι η επεξεργασία σας σε DPIA;

Ανάλυση βάσει των 3 περιπτώσεων του Άρθρου 35.3, της κλίμακας 9 κριτηρίων του ΕΣΠΔ (WP248 rev.01), και των λιστών της CNIL για επεξεργασίες που απαιτούνται ή δεν απαιτούνται. Αιτιολογημένο συμπέρασμα, ανεξάρτητα αν η DPIA είναι τελικά υποχρεωτική ή όχι.

2
Άρθρ. 35.7.α

Συστηματική περιγραφή της επεξεργασίας

Σκοποί, κατηγορίες δεδομένων και υποκειμένων δεδομένων, αποδέκτες, περίοδοι διατήρησης: η πλήρης χαρτογράφηση που απαιτείται από το Άρθρο 35.7.α, σε συνέπεια με το μητρώο επεξεργασιών σας (άρθρ. 30).

3
Άρθρ. 35.7.β

Αναγκαιότητα και αναλογικότητα

Επαλήθευση ότι κάθε δεδομένο που συλλέγεται είναι αναγκαίο για τον επιδιωκόμενο σκοπό, ότι η νομική βάση (άρθρ. 6) έχει προσδιοριστεί για κάθε επεξεργασία, και ότι η αρχή της ελαχιστοποίησης δεδομένων (άρθρ. 5.1.γ) τηρείται.

4
Άρθρ. 35.7.γ

Εκτίμηση των κινδύνων για τα φυσικά πρόσωπα

Για κάθε εντοπισμένο κίνδυνο: σοβαρότητα, πιθανότητα, ήδη υπάρχοντα μέτρα, υπολειπόμενος κίνδυνος, παρουσιαζόμενα ως πίνακας χρησιμοποιήσιμος από τη διοίκηση ή τον DPO σας.

5
Άρθρ. 35.7.δ και 5.2

Μέτρα και τεκμηριωμένο συμπέρασμα

Τεχνικά και οργανωτικά μέτρα που προβλέπονται (άρθρ. 32), αιτιολογημένο συμπέρασμα και τεκμηριωμένη δικαιολόγηση στο πλαίσιο της αρχής της λογοδοσίας (άρθρ. 5.2), έτοιμα προς χρήση σε περίπτωση ελέγχου από την CNIL.

Τι λαμβάνετε

Ένα δομημένο, τεκμηριωμένο έγγραφο, ειλικρινές σχετικά με το τι χρειάζεται ακόμη επικύρωση από τον δικηγόρο ή τον DPO σας

📝

Δομημένη έκθεση DPIA

Το πλήρες έγγραφο σύμφωνα με το Άρθρο 35.7 (α έως δ), με ένα αιτιολογημένο συμπέρασμα.

  • Συστηματική περιγραφή της επεξεργασίας
  • Ανάλυση αναγκαιότητας και αναλογικότητας
  • Πίνακας κινδύνων (σοβαρότητα/πιθανότητα/μέτρα)
  • Συμπέρασμα και τεκμηριωμένη δικαιολόγηση (άρθρ. 5.2)

Κλίμακα προσδιορισμού

Η προκαταρκτική ανάλυση που αποφασίζει αν η επεξεργασία σας εμπίπτει στο πεδίο εφαρμογής της υποχρέωσης.

  • Οι 3 περιπτώσεις του Άρθρου 35.3
  • Τα 9 κριτήρια του ΕΣΠΔ (WP248 rev.01)
  • Σύγκριση με τις λίστες της CNIL
  • Αιτιολογημένο και τεκμηριωμένο συμπέρασμα
📁

Συνέπεια με το μητρώο του Άρθρου 30

Η DPIA βασίζεται στην ίδια θεμελίωση με το μητρώο επεξεργασιών σας.

  • Σκοποί και νομικές βάσεις
  • Κατηγορίες δεδομένων και υποκειμένων δεδομένων
  • Αποδέκτες και εκτελούντες την επεξεργασία
  • Περίοδοι διατήρησης ανά κατηγορία
🚩

Σημεία προς επικύρωση από τον δικηγόρο/DPO σας

Κάθε σημείο αβεβαιότητας επισημαίνεται ρητά, ποτέ δεν αποφασίζεται εκ μέρους σας.

  • Χαρακτηρισμός υπευθύνου / εκτελούντος την επεξεργασία
  • Νομικές βάσεις ανά σκοπό
  • Εντοπισμένες διαβιβάσεις εκτός ΕΕ
  • Ορισμός DPO (άρθρ. 37), όπου απαιτείται
🔗

Πηγές και ιχνηλασιμότητα

Κάθε νομικός ισχυρισμός τεκμηριώνεται, δεν δηλώνεται από μνήμης.

  • Ενοποιημένο κείμενο GDPR (CELEX 32016R0679)
  • Σελίδες και λίστες της CNIL (DPIA, μητρώο)
  • Κατευθυντήριες γραμμές ΕΣΠΔ (WP248 rev.01)
  • Επαληθεύσιμα URL που αναφέρονται στο έγγραφο
📄

Επεξεργάσιμο έγγραφο

Παραδίδεται σε επεξεργάσιμη μορφή, επαναχρησιμοποιήσιμη από τον DPO ή τον δικηγόρο σας.

  • Δομή σύμφωνη με το Άρθρο 35.7
  • Επαναχρησιμοποιήσιμη για μελλοντικές επεξεργασίες σας
  • Έτοιμη προς συμπλήρωση πριν την τελική επικύρωση
  • Καμία σταθερή μορφοποίηση δεν επιβάλλεται

Χρησιμοποιούμενες αναφορές

Μια μέθοδος βασισμένη σε κείμενα και αρχές, όχι σε εσωτερικές ερμηνείες

35

GDPR - Άρθρο 35

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων. Ενοποιημένο κείμενο του Κανονισμού (ΕΕ) 2016/679 (EUR-Lex, CELEX 32016R0679).

ΕΣΠΔ

Κατευθυντήριες γραμμές WP248 rev.01

Τα 9 κριτήρια υψηλού κινδύνου του ΕΣΠΔ (πρώην Ομάδα Εργασίας του Άρθρου 29), υιοθετημένα από την CNIL ως τη μέθοδο αναφοράς για τον προσδιορισμό της υποχρέωσης DPIA.

CNIL

Λίστες και μέθοδος της CNIL

Λίστες επεξεργασιών για τις οποίες απαιτείται ή δεν απαιτείται DPIA, και η μέθοδος της CNIL για τη διεξαγωγή μιας εκτίμησης αντικτύπου.

30

GDPR - Άρθρο 30

Μητρώο επεξεργασιών: η θεμελίωση συνέπειας (σκοποί, δεδομένα, περίοδοι διατήρησης) στην οποία βασίζεται κάθε DPIA.

Μια εξατομικευμένη DPIA, χωρίς κρυφή τιμολόγηση

Το εύρος εξαρτάται από τον αριθμό των επεξεργασιών, την πολυπλοκότητά τους, και από ό,τι ήδη τεκμηριώνεται από την πλευρά σας. Προσφορά που καθορίζεται μετά από μια αρχική συζήτηση.

Προσδιορισμός της υποχρέωσης

Δεν γνωρίζετε αν η επεξεργασία σας αφορά

Προσφορά κατόπιν αιτήματος
ανάλογα με τον αριθμό των επεξεργασιών προς ανάλυση
  • Κλίμακα 9 κριτηρίων ΕΣΠΔ
  • Σύγκριση με το Άρθρο 35.3
  • Επαλήθευση των λιστών της CNIL
  • Αιτιολογημένο και τεκμηριωμένο συμπέρασμα
Ζητήστε προσφορά

Πολυετές πρόγραμμα

Αρκετές επικίνδυνες επεξεργασίες προς κάλυψη

Προσφορά κατόπιν αιτήματος
ανάλογα με τον αριθμό των επεξεργασιών και τον ρυθμό αναθεώρησης
  • Όλα τα της Πλήρους DPIA +
  • Κοινό μεθοδολογικό πλαίσιο
  • Περιοδική αναθεώρηση (άρθρ. 35.11)
  • Συνέπεια διατηρούμενη με το μητρώο (άρθρ. 30)
Ζητήστε προσφορά

Μια DPIA δεν είναι ποτέ οριστική

Το Άρθρο 35.11 του GDPR απαιτεί η ανάλυση να αναθεωρείται σε περίπτωση σημαντικής αλλαγής της επεξεργασίας (νέος εκτελών την επεξεργασία, αλλαγή φιλοξενίας, επέκταση του εύρους συλλογής). Μια προσφορά αναθεώρησης καθορίζεται κατά περίπτωση.

Συχνές ερωτήσεις

Υπόκειται πράγματι η επεξεργασία μου στην υποχρέωση DPIA;
Αυτό εξαρτάται από τρία στοιχεία που ελέγχονται μεθοδικά: τις 3 περιπτώσεις του Άρθρου 35.3 του GDPR, την κλίμακα 9 κριτηρίων του ΕΣΠΔ (κατευθυντήριες γραμμές WP248 rev.01, υιοθετημένες από την CNIL: μόλις πληρούνται 2 από τα 9 κριτήρια, πρέπει καταρχήν να διεξαχθεί DPIA), και τις λίστες της CNIL για επεξεργασίες που απαιτούνται ή δεν απαιτούνται. Το παραδιδόμενο έγγραφο διευθετεί αυτό το ζήτημα και το δικαιολογεί, σημείο προς σημείο.
Τι ακριβώς περιέχει το παραδιδόμενο έγγραφο;
Ένα έγγραφο δομημένο σύμφωνα με το Άρθρο 35.7 του GDPR: συστηματική περιγραφή της επεξεργασίας (α), ανάλυση αναγκαιότητας και αναλογικότητας (β), εκτίμηση των κινδύνων για τα υποκείμενα δεδομένων (γ), προβλεπόμενα τεχνικά και οργανωτικά μέτρα (δ), και στη συνέχεια ένα αιτιολογημένο συμπέρασμα. Κάθε νομική αναφορά τεκμηριώνεται (ενοποιημένο κείμενο GDPR, CNIL, ΕΣΠΔ).
Τι γίνεται αν η επεξεργασία μου τελικά δεν υπόκειται στην υποχρέωση DPIA;
Το έγγραφο διατηρείται σε εθελοντική, τεκμηριωτική βάση: αποτελεί τη δικαιολόγηση της απόφασής σας να μη διεξαγάγετε επίσημη DPIA, στο πλαίσιο της αρχής της λογοδοσίας (άρθρ. 5.2 του GDPR), έτοιμη προς χρήση σε περίπτωση ελέγχου από την CNIL.
Αντικαθιστά αυτό το έγγραφο τη γνώμη του δικηγόρου ή του DPO μου;
Όχι. Το DPIA-Express είναι ένα εργαλείο μεθοδολογικής υποστήριξης που δομεί και τεκμηριώνει την ανάλυση· δεν αποτελεί νομική συμβουλή. Κάθε παραδιδόμενο έγγραφο απαριθμεί ρητά τα σημεία που πρέπει ακόμη να επικυρωθούν από τον δικηγόρο σας ή τον Υπεύθυνο Προστασίας Δεδομένων σας πριν από οποιαδήποτε δεσμευτική χρήση.
Ποιος πρέπει να διεξαγάγει την DPIA εντός του οργανισμού μου;
Ο υπεύθυνος επεξεργασίας παραμένει νομικά υπεύθυνος για την DPIA· ο DPO, όπου υπάρχει, πρέπει να συμβουλεύεται (άρθρ. 35.2 του GDPR). Το DPIA-Express προετοιμάζει το υλικό (περιγραφή, κίνδυνοι, μέτρα) ώστε αυτή η διαβούλευση να πραγματοποιείται σε έναν ήδη δομημένο φάκελο, όχι σε λευκή σελίδα.
Γιατί να απευθυνθείτε στη SYAGA αντί να το κάνετε εξ ολοκλήρου εσωτερικά;
Η SYAGA Consulting υπάρχει από το 2009 και εφαρμόζει την ίδια αυτή μέθοδο στις δικές της επεξεργασίες, συμπεριλαμβανομένου του δικού της προϊόντος ελέγχου Microsoft 365, του οποίου η ανάλυση υποχρέωσης DPIA ακολουθεί ακριβώς αυτή τη δομή. Δεν παραδίδουμε ένα γενικό πρότυπο: κάθε έγγραφο κατασκευάζεται επεξεργασία προς επεξεργασία, άρθρο προς άρθρο.

Έτοιμοι να τεκμηριώσετε την DPIA σας;

Περιγράψτε μας την επεξεργασία σας, και θα επικοινωνήσουμε μαζί σας με μια εξατομικευμένη προσφορά.