Information Commissioner's Office har opdateret afsnittet i GDPR om Data Protection Impact Assessments (DPIA'er), med fokus på risiko, ansvarlighed og databeskyttelse ved design. Artikel 35, stk. 4, er også til offentlig høring indtil den 13. april.
Databeskyttelseskonsekvensvurderinger eller DPIA'er, som vil være obligatoriske at udfylde i nogle tilfælde, er en ny forpligtelse for databehandlere i henhold til den generelle databeskyttelsesforordning.
Ved behandling af data, der "sandsynligvis vil resultere i høj risiko for enkeltpersoners interesser", skal der udføres en DPIA for at bestemme risikoniveauet. Hvis niveauet er højt, så anmoder Informationskommissæren om, at du konsulterer dem direkte.
Hvis du allerede udfører Privacy Impact Assessments (PIA'er), skal du gennemgå processen inden den 25. maj 2018 for at sikre, at den overholder GDPR-opdateringerne. Enhver organisation, der endnu ikke udfører Privacy Impact Assessments, bør tage sig tid til at designe DPIA'er og inkludere dem i deres processer.
Denne vurdering, fremkaldt af GDPR, er en proces, der har til formål at hjælpe dig med at identificere og minimere (men ikke nødvendigvis udrydde) enhver risiko for beskyttelsen af data, som du og din organisation behandler.
ICO siger, at din databeskyttelsesvurdering skal:
Hovedformålet med vurderingen er at beskytte højrisikodata, men det hjælper dig også med at demonstrere dit engagement i informationssikkerhed og bidrage til at opbygge tillid til enkeltpersoner. Overholdelsesrisiko er af stor betydning, men en bredere risiko for rettigheder og friheder (herunder sociale eller økonomiske ulemper) bør også tages i betragtning i databeskyttelseskonsekvensanalysen. Dette inkluderer "potentialet for skade - uanset om det er fysisk, materiel eller ikke-materiel - på enkeltpersoner eller samfundet som helhed."
Som vi nævnte tidligere, skal DPIA udføres før dig behandle data, der kan resultere i høj risiko. Dette er at vurdere risikoniveauet og identificere faktorer, der kan påvirke enkeltpersoner. GDPR siger, at du skal udføre en DPIA, hvis du:
ICO'en har udgivet en vejledning på højt niveau om planlægningen af din DPIA, vist her i grafikken, men du kan skræddersy processen, så den passer ind i din organisation. Husk, at dette bør blive en af din organisations kerneprocesser, så det skal fungere for dig. Der er også europæiske retningslinjer for planlægning af DPIA'er, som du måske ønsker at følge.
Informationskommissærens kontor har åbnet deres udkast til vejledning for databeskyttelseskonsekvensanalyser for offentlig høring. Læs detaljerne og få din mening til kende ICOs hjemmeside.