Informasjonskommissærens kontor har oppdatert delen i GDPR om databeskyttelseskonsekvensvurderinger (DPIAs), med fokus på risiko, ansvarlighet og databeskyttelse ved design. Artikkel 35(4) er også ute på offentlig høring frem til 13. april.
Databeskyttelseskonsekvensvurderinger eller DPIA-er, som vil være obligatoriske å fullføre i noen tilfeller, er en ny forpliktelse for databehandlere under den generelle databeskyttelsesforordningen.
Ved behandling av data som "sannsynligvis vil resultere i høy risiko for enkeltpersoners interesser", må det gjennomføres en DPIA for å bestemme risikonivået. Hvis nivået er høyt, ber Informasjonskommisjonen om at du konsulterer dem direkte.
Hvis du allerede utfører personvernpåvirkningsvurderinger (PIAs), må du gjennomgå prosessen før 25. mai 2018 for å sikre at den er i samsvar med GDPR-oppdateringene. Enhver organisasjon som ennå ikke utfører vurderinger av personvernkonsekvenser, bør ta seg tid til å utforme DPIA-er og inkludere dem i sine prosesser.
Denne vurderingen, forårsaket av GDPR, er en prosess som tar sikte på å hjelpe deg med å identifisere og minimere (men ikke nødvendigvis utrydde) enhver risiko for beskyttelsen av data som du og organisasjonen din behandler.
ICO sier at din databeskyttelseskonsekvensvurdering må:
Hovedformålet med vurderingen er å beskytte høyrisikodata, men det hjelper deg også til å demonstrere ditt engasjement for informasjonssikkerhet, og bidra til å bygge tillit hos enkeltpersoner. Samsvarsrisiko er av stor betydning, men en bredere risiko for rettighetene og frihetene (inkludert sosial eller økonomisk ulempe) bør også vurderes i konsekvensanalysen for databeskyttelse. Dette inkluderer "potensialet for skade - enten fysisk, materiell eller ikke-materiell - for enkeltpersoner eller samfunnet for øvrig."
Som vi har vært inne på tidligere, må DPIA utføres før deg behandle data som kan resultere i høy risiko. Dette er å vurdere nivået på risikoen og identifisere faktorer som kan påvirke enkeltpersoner. GDPR sier at du bør gjennomføre en DPIA hvis du:
ICO har publisert en veiledning på høyt nivå om planleggingen av din DPIA, vist her i grafikken, men du kan skreddersy prosessen for å passe inn i din organisasjon. Husk at dette bør bli en av organisasjonens kjerneprosesser, så det må fungere for deg. Det finnes også europeiske retningslinjer for planlegging av DPIAer som du kanskje ønsker å følge.
Informasjonskommissærens kontor har åpnet for offentlig høring deres utkast til veiledning for databeskyttelseskonsekvensvurderinger. Les detaljene og si din mening nettstedet til ICO.