GDPR合规 | 企业应如何进⾏数据保护影响评估 (DPIA)?
11-14 分钟
提起GDPR数据影响评估,也许很多企业主会想,这是不是GDPR规定企业的又⼀项新义务? 准确的说,是的。DPIA这是GDPR设计和默认情况下数据保护的关键要素,同时也反映了 GDPR基于风险的个⼈数据保护法。
数据保护影响评估简称DPIA: Data Protection Impact Assessment 和隐私影响评估 PIA:Privacy Impact Assessment在GDPR第35条引⼊,是指在开始预期的数据处理之前,数 据控制者有义务进⾏影响评估并记录下来。这是GDPR问责制新关注的⼀部分,并且能够证 明企业遵守GDPR。
那么具体什么是数据影响评估?为什么要进⾏GDPR数据保护影响评估?什么情况下企业应 该进⾏数据影响评估?怎样进⾏数据影响评估?在此,SCA结合GDPR官⽅⽂档为您整理如下 资料帮您对数据影响评估的重要性及其注意事项进⾏梳理,在企业正式执⾏过程中,还请参 考专家及相关法律⼈⼠的建议。
⼀、什么是数据影响评估?
数据影响评估,以下简称DPIA,是⼀个旨在帮助企业系统地分析、识别和最⼩化项⽬的数 据保护风险的过程。同时是在GDPR下履⾏问责义务的关键部分,如果做得恰当,可帮助企 业证明合规性。
企业进⾏DPIA并不意味着能消除所有风险,但却可以帮助企业最⼩化风险,以及确定在这种 情况下风险等级是否可接受,同时可兼顾到企业希望实现的好处。
DPIA旨在成为⼀种灵活且可扩展的⼯具,企业可以将其应⽤于各种项⽬的风险评估。它可以 涵盖单个处理操作或⼀组类似的处理操作。但DPIA不是⼀次性的练习。企业应该将其视为⼀ 个持续的过程,定期审核。在此,建议企业使⽤本指南作为起点,开发⾃⼰的模板和流程以 满⾜企业的特定需求。
⼆、为什么要进⾏GDPR数据保护影响评估?
⾸先,DPIA是企业履⾏问责义务的重要组成部分。根据GDPR规定,如果企业没能在需要时 执⾏DPIA可能会导致企业⾯对更严的执法惩罚,包括⾼达1000万欧元的罚款,或者⾼达到 2%的全球年营业额,两者取其⾼。可以说,进⾏DPIA是对任何类型的处理的法律要求,包 括某些特定类型的处理和可能会对个⼈的权利和⾃由造成⾼风险的处理。
其次,DPIA对企业很重要,原因如下:
1、GDPR第25条明确指出:
“控制⼈应在确定处理⽅法时和处理本⾝时,采取适当的技术和组织措施…并将必要的保障 措施纳⼊处理过程,以满⾜这⼀要求,规范和保护数据主体的权利。”
DPIA通过在开始之前考虑与企业的预期处理相关的风险,证明了企业⽀持遵守GDPR的设计 和默认的数据保护的规定。
通常,持续使⽤DPIA还可提⾼组织内部隐私保护和数据保护问题的意识,确保参与设计项⽬
第1页 共3页 的所有相关⼯作⼈员在早期阶段采⽤“设计数据保护”⽅法进⾏隐私保护。
因此,DPIA带有⼴泛的合规性优势,它可以成为评估和证明企业遵守所有数据保护原则和义 务的有效⽅式。
2、DPIA不仅仅是⼀项合规⼯作,有效的DPIA使企业能够在早期阶段识别并解决问题,为个 ⼈和组织带来更⼴泛的利益。
例如:进⾏和发布DPIA可以提企业⾼透明度,使⽤户更容易理解企业使⽤其信息的⽅式和⽬ 的。在某些情况下,DPIA的咨询过程能帮助⽤户对他们的信息使⽤⽅式进⾏表态。反过来, 进⾏DPIA也帮助企业与⽤户建⽴了信任和互动,并提⾼企业对他们的需求、关注点和期望的 理解。这可提⾼企业的声誉同时帮助企业发现新的商机。
3、DPIA还能给企业带来经济利益。尽早识别问题通常意味着成本更低的解决⽅案,避免⽇ 后潜在的声誉损害。DPIA可以通过尽可能减少企业收集的信息量来减少项⽬的风险成本,并 帮助员⼯设计更便捷的操作流程。
三、什么情况下企业应该进⾏数据影响评估?
基本上,当处理可能对⾃然⼈的权利和⾃由造成⾼风险时,应该进⾏数据保护影响评估。特 别是与GDPR第35(3)条中规定的规则实例之⼀相关时,就必须要进⾏评估了。
GDPR第35条 数据保护影响评估 前3项原⽂如下:
1、当⼀种数据处理⽅式特别是使⽤新技术时,考量处理的性质、范围、背景和⽬的,可能给 ⾃然⼈的权利和⾃由带来⾼度风险的,数据控制者在处理前应当对拟进⾏的处理⾏为给个⼈ 数据保护带来的影响进⾏评估。⼀次评估可以针对⼀系列呈现类似的⾼风险的类似处理⾏ 为。
2、进⾏数据硬性评估时,数据控制者应当向数据保护官(如已制定)寻求意见。
3、第⼀款规定的数据保护影响评估在以下情形应特别必须:
A、对⾃然⼈进⾏系统性和⼴泛性的个⼈情况评估,且该评估基于⾃动化处理(包括数据画 像)并且基于该评估作出对该⾃然⼈产⽣法律效⼒或类似重要影响的决定。
B、⼤规模处理本条例第9条第1款规定的特殊列别数据,或者第10条规定的有关刑事定罪和 犯罪的个⼈数据。
C、对公共区域的⼤规模系统性监控。
综上可知,尤其在以下情况下需要DPIA:
√对个⼈特征数据进⾏系统和⼴泛的评估和分析; √⼤规模处理敏感数据; √⼤规模公共区域的系统监测。 另外,GDPR⼯作组规定:“评分/特征分析、对受影响者产⽣法律后果的⾃动决定、系统监 测、特殊个⼈数据的处理、⼤规模处理的数据、通过各种程序收集的数据的合并或组合、关 于⽆⾏为能⼒的⼈或⾏动能⼒有限的⼈的数据、使⽤新技术或⽣物识别程序、向欧盟/欧洲经 济共同体以外国家的数据传输以及妨碍⾏使其权利的数据处理。”以上处理是对⾃然⼈的权利 和⾃由具有很⾼风险的处理。
如果处理操作仅满⾜以上规定之⼀,隐私影响评估(PIA)不是绝对必要的。但是,如果同 时满⾜⼏个⾼风险处理规定,数据主体的风险预计会很⾼,就需要进⾏数据保护影响 (DPIA)评估。且这⼀过程⾄少应该每三年进⾏⼀次。
需要DPIA的数据处理如:银⾏根据信⽤参考数据库对其客户进⾏筛选; ⼀家医院即将实施⼀ 个新的健康信息数据库,其中包含患者的健康数据; 公交运营商即将实施车载摄像头,以监控 驾驶员和乘客的⾏为。
不需要DPIA的数据处理如:社区医⽣处理患者的个⼈数据。在这种情况下,不需要DPIA, 因为在患者数量有限的情况下,社区医⽣的处理不是⼤规模的。
第2页 共3页 四、怎样进⾏数据影响评估?
对于新技术,企业可以在项⽬或提案的开发和实施过程中使⽤有效的DPIA,嵌⼊到现有项⽬ 管理或其他组织流程中。
对于新项⽬,DPIA是设计数据保护的重要组成部分。应该在早期阶段建⽴数据保护合规性, 因为在这些阶段中,最有可能影响提案的制定和实施⽅式。
同时它应该包括以下步骤:开始前,征求数据保护官的意见(如果有的话);在整个过程 中,咨询⽤户个⼈和其他利益相关⽅的意见。该过程旨在灵活和可扩展。
最后,GDPR明确指出:“在确定采取适当措施以证明个⼈资料的处理符合本条例时,应考虑 评估结果。”因此,DPIA不仅仅是⼀个橡⽪图章或技术性作为签核过程的⼀部分,DPIA能证 明合规性,将DPIA的结果整合到项⽬计划中⾄关重要。建议企业参考欧洲指南,创建⾃⼰的 DPIA模板,其中列出了可接受的DPIA的标准。
第3页 共3页
