Modelul orientativ DPIA

Exemplu de șablon/model orientativ DPIA

Acest șablon/model orientativ este un exemplu al modului în care puteți înregistra

procesul dvs. DPIA șirezultat. Aceasta urmează procesul stabilit în ghidul DPIA și ar
trebui să citițialături de acele îndrumări și Criterii pentru o DPIA acceptabilă stabilită
înOrientările europene privind DPIA.
Începeți să completați șablonul la începutul oricărui proiect major care implică
utilizareaa datelor personale sau dacă faceți o schimbare semnificativă a unui proces
existent.
Integrați rezultatele finale în planul de proiect.

Pasul 1: Identificați necesitatea unei DPIA

Explicați pe larg ce proiect își propune să realizeze și ce tip de prelucrareimplică. S-ar
putea să fiți de ajutor să trimiteți sau să vă conectați la alte documente, cum ar fi
apropunere de proiect. Rezumați de ce ați identificat necesitatea unei DPIA.

Pasul 2: Descrieți procesarea

Descrieți natura prelucrării: cum veți colecta, utiliza, stoca șiștergeți datele? Care
este sursa datelor? Veți comunica date cu oricine?
S-ar putea să fiți util să vă referiți la o diagramă de flux sau alt mod de descriere a
datelorcurge. Ce tipuri de prelucrare identificate ca riscuri susceptibile de risc sunt
implicate?
Descrieți domeniul de aplicare a procesării: care este natura datelor și nuacestea
includ date speciale sau categorii de infracțiuni? Cât de mult va fi datacolectarea și
utilizarea? Cât de des? Cât timp o vei păstra? Câți indivizisunt afectate? Ce zonă
geografică acoperă?
Descrieți contextul prelucrării: care este natura relației dvs.cu indivizii? Cât de mult
va avea controlul? V-ar așteptasă utilizeze datele în acest mod? Sunt incluse copii sau
alte grupuri vulnerabile? Suntexistă preocupări anterioare legate de acest tip de
defecțiuni de procesare sau de securitate? Este roman în oricecale? Care este stadiul
actual al tehnologiei în acest domeniu? Există curentprobleme de interes public pe
care ar trebui să le implicați? Te-ai înscris la oriceun cod de conduită aprobat sau o
schemă de certificare (după ce au fost aprobate)?
Descrieți scopurile prelucrării: ce doriți să obțineți? Ce esteefectul intenționat
asupra persoanelor? Care sunt beneficiile procesării pentru dvs.,și mai larg?
Pasul 3: Procesul de consultare
Luați în considerare modul de consultare cu părțile interesate relevante: descrieți
când și cumveți căuta opiniile persoanelor - sau să justificați motivul pentru care nu
este adecvat să faceți acest lucru. Carealtceva trebuie să vă implicați în cadrul
organizației dvs.? Trebuie să vă întrebațiprocesoare pentru a ajuta? Aveți de gând să
consultați experții în domeniul securității informațiilor sau alți experți?

Pasul 4: Evaluați necesitatea și proporționalitatea

Descrieți măsurile de conformitate și proporționalitate, în special: ceea ce
estebaza dvs. legală de procesare? Procesarea îți atinge efectivscop? Există un alt mod
de a obține același rezultat? Cum vei prevenifuncția creep? Cum veți asigura calitatea
datelor și minimizarea datelor? Ceinformațiile pe care le veți da persoanelor
fizice? Cum vă veți ajuta să vă sprijiniți drepturile?
Ce măsuri trebuie luate pentru a asigura respectarea procesorilor? Cum protejezi
orice transferuri internaționale?

Pasul 5: Identificarea și evaluarea riscurilor

Descrieți sursa de risc și naturaimpact potențial asupra persoanelor. Include
conformitatea și riscurile corporative canecesar.
Probabilitatede rău
Severitatede rău
Per totalrisc
La distanta,
posibil sauprobabil
Minim,

Pasul 6: Identificați măsuri de reducere a riscurilor

Identificați măsurile suplimentare pe care le-ați putea lua pentru a reduce sau
elimina riscurileidentificat ca risc mediu sau ridicat în etapa 5
Risc
Opțiuni pentru a reduce saueliminarea riscului
Efectul asuprarisc
Rezidualrisc
Măsuraaprobat
Eliminată,
redus sauadmis
Scăzut,
mediu
sau mare
Da
nu

Pasul 7: Înregistrați și înregistrați rezultatele

Articol
Nume
data
notițe
Măsuri aprobate de:
Integrați acțiunile înapoi înplanul de proiect, cu data și dataresponsabilitatea pentru
finalizare
Riscuri reziduale
aprobat de:
Dacă acceptați orice valoare reziduală ridicată
risc, consultați ANS înainte de a mergeînainte
Sfaturile DPO furnizate:
DPO ar trebui să vă sfătuiascăconformitatea, măsurile de la etapa 6 șidacă prelucrarea
poate continua
Rezumatul recomandării privind DPO:
Sfaturile DPO acceptatesau respinse de:
Dacă este respinsă, trebuie să explicațimotivele dumneavoastră
Comentarii:
Răspunsurile de consultarerevizuite de:
Dacă decizia dvs. pleacă de laopiniile persoanelor, trebuieexplicați motivele
Comentarii:
Această DPIA va fi păstrată
revizuit de:
De asemenea, RPD ar trebui să revizuiascăconformitatea cu DPIA

ANEXA 2 (DIN GHID EXPLICITAT DPIA AL GRUPULUI DE LUCRU ART. 29 AL UE)

– CRITERII PENTRU O DPIA ACCEPTATĂ -

Grupul de Lucru Articolul 29 propune următoarele criterii pe care operatorii de date le pot utiliza
pentru a evalua dacă o DPIA sau o metodologie de realizare a unei DPIA este suficient de
cuprinzătoare pentru a se conforma RGPD:

 se furnizează o descriere sistematică a prelucrării (art. 35 (7) a)):

 se ține cont de natura, domeniul de aplicare, contextul și scopurile prelucrării
(Considerentul 90);
 se înregistrează datele cu caracter personal, destinatarii, și perioada pentru care datele cu
caracter personal sunt stocate;
 se furnizează o descriere funcțională a operațiunii de prelucrare;
 se identifică activele pe care se bazează datele cu caracter personal (hardware, software,
rețelele, persoanele, documentele pe suport hârtie sau canalele de transmitere pe suport de
hârtie);
 se ține cont de respectarea codurilor de conduită aprobate (art. 35 (8));

 se evaluează necesitatea și proporționalitatea (art. 35 (7) b)):

- se determină măsurile preconizate în vederea conformării cu Regulamentul (art. 35 (7) d)
și Considerentul 90), având în vedere:
- măsuri care contribuie la proporționalitatea și necesitatea prelucrării pe baza:
- scopurilor determinate, explicite și legitime (art. 5 (1) b));
- legalitatea prelucrării (art. 6);
- adecvate, relevante și limitate la ceea ce este necesar (art. 5 (1) c));
- perioadă de stocare limitată (art. 5 (1) e));
- măsuri care contribuie la drepturile persoanelor vizate:
- informațiile furnizate persoanei vizate (art. 12, 13 și 14);
- dreptul de acces și dreptul la portabilitatea datelor (art. 15 și 20);
- dreptul la rectificare și dreptul la ștergere (art. 16, 17 și 19);
- dreptul la opoziție și dreptul la restricționarea prelucrării (art. 18, 19 și 21);
- relațiile cu persoanele împuternicite de operator (art. 28);
- garanțiile pentru transferurile internaționale (Capitolul V);
- consultarea prealabilă (art. 36).
 se gestionează riscurile pentru drepturile și libertățile persoanelor vizate (art. 35 (7) c)):
 se analizează originea, natura, particularitatea și gravitatea riscurilor (a se vedea
Considerentul 84) sau, mai exact, pentru fiecare risc (acces ilegal, modificări nedorite
și dispariția datelor) din perspectiva persoanelor vizate:
o se ține cont de sursele riscurilor (Considerentul 90);
o se identifică impactul posibil asupra drepturilor și libertăților persoanelor vizate în
cazul unor evenimente ce includ accesul ilegal, modificările nedorite sau
dispariția datelor;
o se identifică amenințările care ar putea conduce la accesul ilegal, modificarea
nedorită sau dispariția datelor;
o se estimează probabilitatea și gravitatea (Considerentul 90);
o se determină măsurile preconizate pentru atenuarea respectivelor riscuri (art. 35
(7) d) și Considerentul 90);
 sunt implicate părțile interesate:
o se solicită avizul DPO (art. 35 (2));
o se solicită, acolo unde este cazul, avizul peroanelor vizate sau al reprezentanților
acestora (art. 35 (9)).