GDPR合规 | 企业应如何进行数据保护影响评估(DPIA)?
提起GDPR数据影响评估,也许很多企业主会想,这是不是GDPR规定企业的又一项新义务?准确的说,是的。DPIA这是GDPR设计和默认情况下数据保护的关键要素,同时也反映了GDPR基于风险的个人数据保护法。
数据保护影响评估简称DPIA: Data Protection Impact Assessment 和隐私影响评估PIA:Privacy Impact Assessment在GDPR第35条引入,是指在开始预期的数据处理之前,数据控制者有义务进行影响评估并记录下来。这是GDPR问责制新关注的一部分,并且能够证明企业遵守GDPR。
那么具体什么是数据影响评估?为什么要进行GDPR数据保护影响评估?什么情况下企业应该进行数据影响评估?怎样进行数据影响评估?在此,SCA结合GDPR官方文档为您整理如下资料帮您对数据影响评估的重要性及其注意事项进行梳理,在企业正式执行过程中,还请参考专家及相关法律人士的建议。
一、什么是数据影响评估?
数据影响评估,以下简称DPIA,是一个旨在帮助企业系统地分析、识别和最小化项目的数据保护风险的过程。同时是在GDPR下履行问责义务的关键部分,如果做得恰当,可帮助企业证明合规性。
企业进行DPIA并不意味着能消除所有风险,但却可以帮助企业最小化风险,以及确定在这种情况下风险等级是否可接受,同时可兼顾到企业希望实现的好处。
DPIA旨在成为一种灵活且可扩展的工具,企业可以将其应用于各种项目的风险评估。它可以涵盖单个处理操作或一组类似的处理操作。但DPIA不是一次性的练习。企业应该将其视为一个持续的过程,定期审核。在此,建议企业使用本指南作为起点,开发自己的模板和流程以满足企业的特定需求。
二、为什么要进行GDPR数据保护影响评估?
首先,DPIA是企业履行问责义务的重要组成部分。根据GDPR规定,如果企业没能在需要时执行DPIA可能会导致企业面对更严的执法惩罚,包括高达1000万欧元的罚款,或者高达到2%的全球年营业额,两者取其高。可以说,进行DPIA是对任何类型的处理的法律要求,包括某些特定类型的处理和可能会对个人的权利和自由造成高风险的处理。
其次,DPIA对企业很重要,原因如下:
1、GDPR第25条明确指出:
“控制人应在确定处理方法时和处理本身时,采取适当的技术和组织措施......并将必要的保障措施纳入处理过程,以满足这一要求,规范和保护数据主体的权利。”
DPIA通过在开始之前考虑与企业的预期处理相关的风险,证明了企业支持遵守GDPR的设计和默认的数据保护的规定。
通常,持续使用DPIA还可提高组织内部隐私保护和数据保护问题的意识,确保参与设计项目的所有相关工作人员在早期阶段采用“设计数据保护”方法进行隐私保护。
因此,DPIA带有广泛的合规性优势,它可以成为评估和证明企业遵守所有数据保护原则和义务的有效方式。
2、DPIA不仅仅是一项合规工作,有效的DPIA使企业能够在早期阶段识别并解决问题,为个人和组织带来更广泛的利益。
例如:进行和发布DPIA可以提企业高透明度,使用户更容易理解企业使用其信息的方式和目的。在某些情况下,DPIA的咨询过程能帮助用户对他们的信息使用方式进行表态。反过来,进行DPIA也帮助企业与用户建立了信任和互动,并提高企业对他们的需求、关注点和期望的理解。这可提高企业的声誉同时帮助企业发现新的商机。
3、DPIA还能给企业带来经济利益。尽早识别问题通常意味着成本更低的解决方案,避免日后潜在的声誉损害。DPIA可以通过尽可能减少企业收集的信息量来减少项目的风险成本,并帮助员工设计更便捷的操作流程。
三、什么情况下企业应该进行数据影响评估?
基本上,当处理可能对自然人的权利和自由造成高风险时,应该进行数据保护影响评估。特别是与GDPR第35(3)条中规定的规则实例之一相关时,就必须要进行评估了。
GDPR第35条 数据保护影响评估 前3项原文如下:
1、当一种数据处理方式特别是使用新技术时,考量处理的性质、范围、背景和目的,可能给自然人的权利和自由带来高度风险的,数据控制者在处理前应当对拟进行的处理行为给个人数据保护带来的影响进行评估。一次评估可以针对一系列呈现类似的高风险的类似处理行为。
2、进行数据硬性评估时,数据控制者应当向数据保护官(如已制定)寻求意见。
3、第一款规定的数据保护影响评估在以下情形应特别必须:
A、对自然人进行系统性和广泛性的个人情况评估,且该评估基于自动化处理(包括数据画像)并且基于该评估作出对该自然人产生法律效力或类似重要影响的决定。
B、大规模处理本条例第9条第1款规定的特殊列别数据,或者第10条规定的有关刑事定罪和犯罪的个人数据。
C、对公共区域的大规模系统性监控。
综上可知,尤其在以下情况下需要DPIA:
√对个人特征数据进行系统和广泛的评估和分析;
√大规模处理敏感数据;
√大规模公共区域的系统监测。
另外,GDPR工作组规定:“评分/特征分析、对受影响者产生法律后果的自动决定、系统监测、特殊个人数据的处理、大规模处理的数据、通过各种程序收集的数据的合并或组合、关于无行为能力的人或行动能力有限的人的数据、使用新技术或生物识别程序、向欧盟/欧洲经济共同体以外国家的数据传输以及妨碍行使其权利的数据处理。”以上处理是对自然人的权利和自由具有很高风险的处理。
如果处理操作仅满足以上规定之一,隐私影响评估(PIA)不是绝对必要的。但是,如果同时满足几个高风险处理规定,数据主体的风险预计会很高,就需要进行数据保护影响(DPIA)评估。且这一过程至少应该每三年进行一次。
需要DPIA的数据处理如:银行根据信用参考数据库对其客户进行筛选; 一家医院即将实施一个新的健康信息数据库,其中包含患者的健康数据; 公交运营商即将实施车载摄像头,以监控驾驶员和乘客的行为。
不需要DPIA的数据处理如:社区医生处理患者的个人数据。在这种情况下,不需要DPIA,因为在患者数量有限的情况下,社区医生的处理不是大规模的。
四、怎样进行数据影响评估?
对于新技术,企业可以在项目或提案的开发和实施过程中使用有效的DPIA,嵌入到现有项目管理或其他组织流程中。
对于新项目,DPIA是设计数据保护的重要组成部分。应该在早期阶段建立数据保护合规性,因为在这些阶段中,最有可能影响提案的制定和实施方式。
同时它应该包括以下步骤:开始前,征求数据保护官的意见(如果有的话);在整个过程中,咨询用户个人和其他利益相关方的意见。该过程旨在灵活和可扩展。
最后,GDPR明确指出:“在确定采取适当措施以证明个人资料的处理符合本条例时,应考虑评估结果。”因此,DPIA不仅仅是一个橡皮图章或技术性作为签核过程的一部分,DPIA能证明合规性,将DPIA的结果整合到项目计划中至关重要。建议企业参考欧洲指南,创建自己的DPIA模板,其中列出了可接受的DPIA的标准。