Uppdateringar av GDPR-avsnittet: Data Protection Impact Assessments (DPIA)

Boka en demo

närbild,bild,av,kvinna,händer,skriva,på,bärbar dator,dator

Information Commissioner's Office har uppdaterat avsnittet i GDPR om Data Protection Impact Assessments (DPIAs), med fokus på risk, ansvarighet och dataskydd genom design. Artikel 35 är också tillgänglig för offentligt samråd fram till den 4 april.

Låt oss ta en snabb titt på vad som är nytt

Dataskyddskonsekvensbedömningar och GDPR

Data Protection Impact Assessments eller DPIA, som kommer att vara obligatoriska att slutföra i vissa fall, är en ny skyldighet för databehandlare enligt den allmänna dataskyddsförordningen.

Vid behandling av data som "sannolikt kommer att leda till hög risk för individers intressen" kommer en DPIA att behöva genomföras för att fastställa risknivån. Om nivån är hög, så begär informationskommissarie att du konsulterar dem direkt.

Om du redan utför Privacy Impact Assessments (PIA) måste du granska processen före den 25 maj 2018 för att säkerställa att den följer GDPR-uppdateringarna. Alla organisationer som ännu inte genomför sekretesskonsekvensbedömningar bör ta sig tid att utforma DPIA:er och inkludera dem i sina processer.

Vad är en dataskyddskonsekvensbedömning?

Denna bedömning, föranledd av GDPR, är en process som syftar till att hjälpa dig att identifiera och minimera (men inte nödvändigtvis utrota) alla risker för skyddet av data som du och din organisation behandlar.

ICO säger att din dataskyddskonsekvensbedömning måste:

  • Beskriv behandlingen och dina syften
  • Bedöm nödvändighet och proportionalitet
  • Identifiera och bedöma risker till individer
  • Identifiera eventuella åtgärder för att minska dessa risker och skydda uppgifterna

Huvudsyftet med bedömningen är att skydda högriskdata, men det hjälper dig också att visa ditt engagemang för informationssäkerhet och bidra till att bygga förtroende hos individer. Efterlevnadsrisk är av stor vikt, men en bredare risk för rättigheter och friheter (inklusive sociala eller ekonomiska nackdelar) bör också beaktas i konsekvensbedömningen för dataskydd. Detta inkluderar "potentialen för skada - vare sig fysisk, materiell eller icke-materiell - för individer eller samhället i stort."

Se hur enkelt det är med ISMS.online
Boka din demo

När behöver jag göra en dataskyddskonsekvensbedömning?

Som vi berörde tidigare måste DPIA genomföras före dig processdata som kan leda till hög risk. Detta är att bedöma risknivån och identifiera faktorer som kan påverka individer. GDPR säger att du bör genomföra en DPIA om du:

  • använda systematisk och omfattande profilering med betydande effekter;
  • behandla uppgifter om särskilda kategorier eller brottsliga brott i stor skala; eller
  • systematiskt övervaka allmänt tillgängliga platser i stor skala.
  • använda ny teknik;
  • använda profilerings- eller specialkategoridata för att besluta om åtkomst till tjänster;
  • profilera individer i stor skala;
  • bearbeta biometriska data;
  • bearbeta genetiska data;
  • matcha data eller kombinera datamängder från olika källor;
  • samla in personuppgifter från en annan källa än individen utan att förse dem med ett integritetsmeddelande (”osynlig behandling”);
  • spåra individers plats eller beteende;
  • profilera barn eller rikta tjänster mot dem; eller
  • behandla data som kan äventyra individens fysiska hälsa eller säkerhet i händelse av ett säkerhetsintrång.

Hur man utför en konsekvensbedömning av datasekretess

ICO har publicerat en guide på hög nivå om planeringen av din DPIA, som visas här i grafiken, men du kan skräddarsy processen för att passa in i din organisation. Kom ihåg att detta bör bli en av din organisations kärnprocesser, så det måste fungera för dig. Det finns också europeiska riktlinjer för planering av DPIA:er som du kanske vill följa.

Öppet samråd om GDPR artikel 35(4)

Informationskommissionärens kontor har öppnat för offentligt samråd med sitt förslag till vägledning för dataskyddskonsekvensbedömningar. Läs detaljerna och säg ditt omdöme ICO:s webbplats.

Se hur enkelt det är med ISMS.online

Boka din demo

cta-bild

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer