Die Inligtingskommissaris se kantoor het die afdeling in die GDPR oor databeskermingimpakbepalings (DPIA's) bygewerk, met die fokus op risiko, aanspreeklikheid en databeskerming deur ontwerp. Artikel 35(4) is ook beskikbaar vir openbare konsultasie tot 13 April.
Databeskermingsimpakbeoordelings of DPIA's, wat in sommige gevalle verpligtend sal wees om te voltooi, is 'n nuwe verpligting vir dataverwerkers onder die Algemene Databeskermingsregulasie.
Wanneer data verwerk word wat 'waarskynlik 'n hoë risiko vir individue se belange tot gevolg sal hê' sal 'n DPIA uitgevoer moet word om die vlak van risiko te bepaal. As die vlak hoog is, versoek die Inligtingskommissaris se kantoor dat u hulle direk raadpleeg.
As jy reeds Privaatheidsimpakbepalings (PIA's) uitvoer, sal jy die proses voor 25 Mei 2018 moet hersien om te verseker dat dit aan die GDPR-opdaterings voldoen. Enige organisasie wat nog nie Privaatheidsimpakbepalings uitvoer nie, moet die tyd neem om DPIA's te ontwerp en dit by hul prosesse in te sluit.
Hierdie beoordeling, teweeggebring deur die BBP, is 'n proses wat daarop gemik is om jou te help om enige risiko vir die beskerming van data wat jy en jou organisasie verwerk, te identifiseer en te minimaliseer (maar nie noodwendig uit te roei nie).
Die ICO sê dat u databeskermingsimpakevaluering moet:
Die hoofdoel van die assessering is om hoërisiko-data te beskerm, maar dit help jou ook om jou verbintenis tot inligtingsekuriteit te demonstreer, en help om vertroue by individue te bou. Voldoeningsrisiko is van groot belang, maar 'n breër risiko vir die regte en vryhede (insluitend sosiale of ekonomiese benadeling) moet ook in die Databeskermingsimpakevaluering oorweeg word. Dit sluit in die 'potensiaal vir skade – hetsy fisies, materieel of nie-materieel – aan individue of die gemeenskap in die algemeen.'
Soos ons vroeër aangeroer het, moet die DPIA voor u uitgevoer word data te verwerk wat hoë risiko tot gevolg kan hê. Dit is ' om die vlak van die risiko te evalueer en identifiseer faktore wat individue kan beïnvloed. Die GDPR sê jy moet 'n DPIA uitvoer as jy:
Die ICO het 'n hoëvlakgids oor die beplanning van jou DPIA gepubliseer, wat hier in die grafika gewys word, maar jy kan die proses aanpas om by jou organisasie in te pas. Onthou, dit behoort een van jou organisasie se kernprosesse te word, so dit moet vir jou werk. Daar is ook Europese riglyne vir die beplanning van DPIA's wat jy dalk wil volg.
Die Inligtingskommissaris se kantoor het hul konsepriglyne vir databeskermingsimpakbeoordelings vir openbare konsultasie oopgestel. Lees die besonderhede en sê jou sê oor die ICO-webwerf.
