GDPR a prevăzut câteva exemple care să contureze necesitatea elaborării unei DPIA, dar pot exista prelucrări care să nu fie incluse în acele exemple, dar care să prezinte totuși riscuri ridicate și să facă realizarea unei DPIA obligatorie.
Francezii au elaborat, de pildă, o scară cu patru trepte pentru probabilitatea riscului, de la neglijabil la extrem de ridicat, pe când englezii folosesc o matrice din care poate reieși că o prelucrare va avea un risc scăzut, mediu sau ridicat (detalii, aici) pentru protecția datelor personale.
De ce ne-am uita totuși mai atent la activitățile specifice departamentului de resurse umane din perspectiva DPIA? Pentru că unele dintre ele pot avea prezenta riscuri ridicate pentru protecția drepturilor salariaților în legătură cu datele lor personale. Grupul de lucru Articolul 29 cataloga salariații ca persoane vulnerabile.
De ce este salariatul vulnerabil? Din perspectiva raportului pe care-l are cu firma care-l angajează, cu care se află într-o vădită poziție de inferioritate. De cele mai multe ori, e în imposibilitate să-și apere drepturile și să facă opoziție în raport cu angajatorul său.
Grupul de lucru a elaborat, într-un ghid special dedicat DPIA, o listă de criterii de unde orice companie se poate inspira pentru a vedea necesitatea de a elabora o evaluare de impact. Specialiștii din grup spuneau acolo că bifarea și a două dintre cele nouă criterii duce la concluzia că DPIA trebuie făcută (dar uneori chiar și unul dintre criterii e suficient):
- evaluarea sau punctarea, inclusiv crearea de profiluri și preconizarea, în special de la „aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările”;
- luarea de decizii în mod automat cu un efect juridic sau similar semnificativ;
- monitorizarea sistematică;
- prelucrarea datelor sensibile;
- prelucrare pe scară largă;
- corelarea sau combinarea seturilor de date;
- prelucrarea datelor persoanelor vulnerabile;
- utilizarea unor inovații sau aplicarea unor soluții tehnologice sau organizaționale noi;
- atunci când prelucrarea în sine „împiedică persoanele vizate să exercite un drept sau să utilizeze un serviciu ori un contract”.
La exemple, grupul de lucru aduce chiar pe cel al unui angajator care monitorizează sistematic activitățile angajaților săi (pe internet, la stațiile de lucru etc.).
Poate că acum doar companiile mai mari, cu mulți angajați, folosesc sistemele de recunoaștere a salariaților și de monitorizare a activității lor îndeaproape -- amprentare, recunoaștere facială (ca metode de acces în incintă, de exemplu) --, dar nu suntem foarte departe de ziua când astfel de mecanisme vor cunoaște o aplicare mai largă. În astfel de situații, e destul de ușor de observat probabilitatea ridicată a riscurilor.
Supravegherea la locul de muncă prin sistemele CCTV, urmărirea traseelor mașinilor de serviciu ori a dispozitivelor folosite de salariații care lucrează în afara biroului sunt alte exemple relevante aici. De asemenea, sunt destui angajatori care cer angajaților caziere la angajare, cu toate că nu există nicio obligație legală care să le impună să facă acest lucru. Datele privind istoricul penal sunt date sensibile însă.
Date sensibile sunt și cele care privesc starea de sănătate a unui angajat (ca fapt divers, cineva îmi spunea recent că în documentația de sănătate și securitate în muncă de la angajatorul său există, în cazul doamnelor și domnișoarelor, o rubrică privind numărul nașterilor și avorturilor).
Important de reținut e că analiza riscurilor trebuie făcută înainte ca orice activități, ca orice sisteme sau tehnologii noi să fie efectiv puse în practică. Verificarea DPIA-urilor o face Autoritatea Națională de Supraveghere a Protecției Datelor, cu atât mai mult cu cât a oficializat de curând lista criteriilor pe care le ia în considerare la obligația de a face astfel de analize.
Comentarii articol (0)