Information Commissioner's Office har uppdaterat avsnittet i GDPR om Data Protection Impact Assessments (DPIAs), med fokus på risk, ansvarighet och dataskydd genom design. Artikel 35 är också tillgänglig för offentligt samråd fram till den 4 april.
Data Protection Impact Assessments eller DPIA, som kommer att vara obligatoriska att slutföra i vissa fall, är en ny skyldighet för databehandlare enligt den allmänna dataskyddsförordningen.
Vid behandling av data som "sannolikt kommer att leda till hög risk för individers intressen" kommer en DPIA att behöva genomföras för att fastställa risknivån. Om nivån är hög, så begär informationskommissarie att du konsulterar dem direkt.
Om du redan utför Privacy Impact Assessments (PIA) måste du granska processen före den 25 maj 2018 för att säkerställa att den följer GDPR-uppdateringarna. Alla organisationer som ännu inte genomför sekretesskonsekvensbedömningar bör ta sig tid att utforma DPIA:er och inkludera dem i sina processer.
Denna bedömning, föranledd av GDPR, är en process som syftar till att hjälpa dig att identifiera och minimera (men inte nödvändigtvis utrota) alla risker för skyddet av data som du och din organisation behandlar.
ICO säger att din dataskyddskonsekvensbedömning måste:
Huvudsyftet med bedömningen är att skydda högriskdata, men det hjälper dig också att visa ditt engagemang för informationssäkerhet och bidra till att bygga förtroende hos individer. Efterlevnadsrisk är av stor vikt, men en bredare risk för rättigheter och friheter (inklusive sociala eller ekonomiska nackdelar) bör också beaktas i konsekvensbedömningen för dataskydd. Detta inkluderar "potentialen för skada - vare sig fysisk, materiell eller icke-materiell - för individer eller samhället i stort."
Som vi berörde tidigare måste DPIA genomföras före dig processdata som kan leda till hög risk. Detta är att bedöma risknivån och identifiera faktorer som kan påverka individer. GDPR säger att du bör genomföra en DPIA om du:
ICO har publicerat en guide på hög nivå om planeringen av din DPIA, som visas här i grafiken, men du kan skräddarsy processen för att passa in i din organisation. Kom ihåg att detta bör bli en av din organisations kärnprocesser, så det måste fungera för dig. Det finns också europeiska riktlinjer för planering av DPIA:er som du kanske vill följa.
Informationskommissionärens kontor har öppnat för offentligt samråd med sitt förslag till vägledning för dataskyddskonsekvensbedömningar. Läs detaljerna och säg ditt omdöme ICO:s webbplats.