DPO On Demand

Kako mora izgledati dobra DPIA? - Evropske institucije tudi ne vedo.

Ne glede na to, da poročilo Evropskega nadzornika za varstvo podatkov (EDPS) obravnava izkušnje evropskih institucij, so izzivi pri izdelavi DPIA podobni kot pri drugih upravljavcih. Poročilo smo analizirali in podajamo poudarke.
Število zaključenih DPIA ostaja nizko Le štiri od 39 institucij, ki so sodelovale, je zaključilo več kot 2 oceni učinkov letno ('DPIA-e'). Velika večina ugotavlja, da je izvedba DPIA dolgotrajen proces. Pomembno je vključiti DPO-ja in druge relevantne deležnike v zgodnjih fazah (zlasti pravni in IT oddelek upravljavca in relevantne zunanje izvajalce). Najpogostejši razlogi za izvajanje DPIA Ne glede na to, da obstaja še kar nekaj dvomov o vsebini posameznega kriterija EDPB za obveznost izvedbe DPIA, so evropske institucije najpogosteje izvajale DPIA, ker so bili izpolnjeni naslednji kriteriji: občutljivost podatkov, obdelava v velikem obsegu, inovativnost procesov obdelave in ranljivost posameznikov, na katere se podatki nanašajo. Najpogosteje so DPIA izvajali za procese obdelave, povezane z delovnopravnim področjem ali uporabo rešitev IKT. Nekatere evropske institucije so se odločile, da izvedejo DPIA tudi, ko ta ne bi bila obvezna. EDPS poudarja pomembnost argumentacije ob presoji, ali je DPIA obvezna ali ne, in priporoča, da se zlasti v primerih, ko naj kriterij ne bi bil izpolnjen, dokumentirano pojasni, zakaj upravljavec ocenjuje, da kriterij ni izpolnjen. Rezultati analize 17 dokončanih poročil o DPIA Dolžina je variirala med 5 in 55 stranmi, povprečna DPIA pa je bila dolga 16 strani. Po mnenju EDPS so 5-stranske DPIA-e prekratke. Fokus pri oceni tveganja mora zajemati: tveganja za posameznike in ne za organizacijo, tveganja,

Vsebina članka je dostopna članom DPO Kluba.