În mare, atunci când o prelucrare de date personale implică riscuri ridicate, este necesară, conform Regulamentului general privind protecția datelor (GDPR), realizarea unei evaluări a impactului prelucrării asupra drepturilor și libertăților persoanelor vizate.
GDPR stabilește că statele membre pot, prin intermediul Autorităților de Supraveghere, să stabilească tipuri de prelucrări în cazul cărora este nevoie întotdeauna de realizarea unei evaluări de impact. Decizia ANSPDCP nr. 174/2018 privind Lista operațiunilor pentru care este necesară realizarea evaluării impactului asupra protecției datelor pune Autoritatea din România în rând cu celelalte state unde s-au luat astfel de decizii. Documentul a fost publicat miercuri, în Monitorul Oficial, Partea I, nr. 919 și este deja în vigoare.
ANSPDCP a propus, prin această decizie, ca evaluarea să se facă de către operatorii de date neapărat în următoarele cazuri (preluate dintr-un document pe tema evaluărilor de impact al fostului Grup de lucru Art. 29, actualul European Data Protection Board):
- când se prelucrează date personale în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
- când se prelucrează pe scară largă date personale care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale și infracțiuni;
- când se prelucrează date personale cu scopul monitorizării sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în zone publice, precum în centrele comerciale, stadioane, piețe, parcuri sau altele asemenea;
- când se prelucrează pe scară largă datele personale ale persoanelor vulnerabile, în special ale copiilor și ale angajaților, prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing și publicitate;
- când se prelucrează pe scară largă a datele personale prin utilizarea inovatoare sau implementarea unor soluții tehnologice automate noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;
- prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicații "internetul lucrurilor", cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, orașe inteligente sau alte asemenea aplicații);
- când se prelucrează pe scară largă și/sau sistematică a datelor de trafic și/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin WI-FI, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.
Cel care prelucrează date personale și se regăsește în oricare dintre situațiile de mai sus este obligat să facă evaluarea impactului asupra protecției datelor. Cum? Într-un material anterior prezentam care sunt pașii unei astfel de analize.
Totuși, când vorbim de obligația de a face evaluarea de impact nu ne putem limita doar la lista de mai sus. "Chiar dacă o activitate de prelucrare nu se regăseste pe lista de mai sus, atunci când prelucrarea presupune riscuri mari, va fi totuși nevoie de realizarea unei evaluări de impact. Lista cuprinde acele activități în cazul cărora se presupune că orice tip de prelucrare implică riscuri mari", spune Alin Popescu, avocat specializat pe probleme de protecția datelor personale.
În fine, ANSPDCP-ul a venit și cu excepție interesantă la cele de mai sus: DPIA nu e necesară dacă prelucrarea în temeiul unei obligații legale are un temei juridic în dreptul Uniunii sau în dreptul intern și deja s-a făcut o evaluare a impactului ca parte a unei evaluări generale a impactului în contextul adoptării actelor normative respective.