משרד נציב המידע עדכן את הסעיף ב-GDPR בנושא הערכות השפעות על הגנת מידע (DPIAs), תוך התמקדות בסיכון, אחריות והגנת מידע על ידי עיצוב. סעיף 35(4) עומד גם הוא להתייעצות ציבורית עד ה-13 באפריל.
הערכות ההשפעה של הגנת נתונים או DPIAs, אשר יהיה חובה להשלים במקרים מסוימים, הם חובה חדשה עבור מעבדי נתונים במסגרת תקנת הגנת המידע הכללית.
בעת עיבוד נתונים ש'סביר שיביא לסיכון גבוה לאינטרסים של אנשים', יהיה צורך לבצע DPIA כדי לקבוע את רמת הסיכון. אם הרמה גבוהה, אזי לשכת הממונה על המידע מבקשת להתייעץ איתם ישירות.
אם אתה כבר מבצע הערכות השפעת פרטיות (PIA), תצטרך לסקור את התהליך לפני ה-25 במאי 2018 כדי לוודא שהוא תואם לעדכוני ה-GDPR. כל ארגון שעדיין לא מבצע הערכות השפעת פרטיות צריך להקדיש זמן לעיצוב DPIAs ולכלול אותם בתהליכים שלהם.
הערכה זו, שהביאה GDPR, הוא תהליך שמטרתו לעזור לך לזהות ולמזער (אך לא בהכרח למגר) כל סיכון להגנה על נתונים שאתה והארגון שלך מעבדים.
ה-ICO אומר שהערכת ההשפעה על הגנת הנתונים שלך חייבת:
המטרה העיקרית של ההערכה היא להגן על נתונים בסיכון גבוה, אבל היא גם עוזרת לך להפגין את המחויבות שלך לאבטחת מידע, ולעזור לבנות אמון עם אנשים. סיכון הציות הוא בעל חשיבות גבוהה, אך יש לקחת בחשבון סיכון רחב יותר לזכויות וחירויות (כולל חיסרון חברתי או כלכלי) בהערכת ההשפעה על הגנת הנתונים. זה כולל את 'פוטנציאל הפגיעה - בין אם פיזית, חומרית או לא חומרית - ליחידים או לחברה בכללותה.'
כפי שניגענו קודם לכן, ה-DPIA צריך להתבצע לפניכם לעבד נתונים שעלולים לגרום לסיכון גבוה. זה להעריך את רמת הסיכון ו לזהות גורמים שיכולים להשפיע על אנשים. ה-GDPR אומר שאתה צריך לערוך DPIA אם אתה:
ה-ICO פרסם מדריך ברמה גבוהה על תכנון ה-DPIA שלך, המוצג כאן בגרפיקה, אך אתה יכול להתאים את התהליך כך שיתאים לארגון שלך. זכור, זה אמור להפוך לאחד מתהליכי הליבה של הארגון שלך, אז זה צריך לעבוד בשבילך. יש גם הנחיות אירופאיות לתכנון DPIAs שאולי תרצו לפעול לפיהן.
לשכת הממונה על המידע פתחה להתייעצות ציבורית את טיוטת ההנחיות להערכות ההשפעה על הגנת מידע. קרא את הפרטים והביע את דעתך אתר ICO.