Loading…
Оценка воздействия на защиту данных (DPIA) по Статье 35 GDPR требуется всякий раз, когда обработка с большой вероятностью приведёт к высокому риску для прав и свобод физических лиц. Рабочая группа по Статье 29 (ныне EDPB) изложила девять критериев — при применении двух или более из них проводите DPIA.
Защитимая DPIA состоит из пяти этапов: описание обработки, оценка необходимости и соразмерности, идентификация рисков, идентификация мер по снижению, затем формальное утверждение и планирование пересмотра. Методология ICO и Руководящие принципы EDPB тесно согласованы по этой структуре.
При правильном выполнении DPIA — это артефакт, формирующий продукт, а не ритуал соответствия. Она выявляет риски на раннем этапе и заставляет делать выбор в отношении минимизации данных, хранения и доступа. Лучшие DPIA завершаются до написания первой строки кода.
Статья 35(1) требует DPIA, если обработка «с большой вероятностью приведёт к высокому риску». Статья 35(3) перечисляет три обязательных случая:
Большинство надзорных органов публикуют национальные списки (Статья 35(4)) дополнительных видов обработки, всегда требующих DPIA. Проверяйте списки вашего ведущего надзорного органа и любых надзорных органов, резидентов государств-членов которых вы обрабатываете.
Если неясно, проведите тест по девяти критериям. Два или более = DPIA требуется.
Основой любой DPIA является точное описание того, что вы фактически делаете с данными. Зафиксируйте:
Дополните это диаграммой потоков данных. Свободные текстовые описания упускают то, что выявляют диаграммы потоков данных.
Для каждого выявляемого риска задокументируйте:
Типы угроз, которые следует рассматривать регулярно: несанкционированный доступ (инсайдер, внешний злоумышленник), изменение (потеря целостности), потеря (уничтожение, недоступность), дискриминация, кража персональных данных, финансовые потери, репутационный ущерб, потеря конфиденциальности, потеря контроля над данными, повторная идентификация псевдонимизированных данных.
Для каждого риска определите запланированный способ обработки:
Повторно оцените остаточный риск после запланированных мер контроля. Если остаточный риск остаётся высоким, вы обязаны проконсультироваться с надзорным органом до начала обработки (Статья 36).
Предварительная консультация согласно Статье 36 требуется, когда после применения мер по снижению остаточный риск для прав и свобод остаётся высоким.
Надзорный орган получает:
Срок ответа надзорного органа: 8 недель (с возможностью продления на 6 недель для сложных случаев). Обработка не может начаться в течение этого периода без разрешения.
Сценарий: Логистическая компания планирует внедрить регистрацию прихода/ухода на основе распознавания лиц для 4 500 складских работников на 12 объектах в Германии и Испании.
Пороговый тест: Чувствительные данные (биометрические данные для идентификации по Статье 9) + большой масштаб + уязвимые субъекты (работники) + инновационное использование = очевидная область DPIA. Перечни надзорных органов Германии и Испании также относят биометрическую идентификацию на рабочем месте к обязательной DPIA.
Описание (Этап 1): Шаблоны лиц, формируемые с фронтальной камеры на входе на объект; сопоставление с зарегистрированным шаблоном, хранящимся на устройстве по каждому объекту; совпадения регистрируются с отметкой времени и идентификатором работника; биометрические шаблоны хранятся в течение периода занятости + 30 дней; журналы сопоставлений хранятся 3 года.
Необходимость (Этап 2): Правовое основание — Статья 6(1)(b) трудовой договор + 9(2)(b) обязательство по трудовому законодательству (Германия) и явное согласие (Испания, с участием производственного совета). Рассмотренные альтернативы: считывание PIN-карты (отклонено — отметка за коллегу), бейдж с NFC (отклонено — то же самое), отпечаток пальца (отклонено — гигиена). Обоснована необходимость шаблонов лиц по сравнению с альтернативами.
Риски (Этап 3): (a) Централизация биометрических шаблонов создаёт «приманку» для взлома. (b) Ложное несовпадение, приводящее к удержанию заработной платы. (c) Расширение назначения — данные регистрации прихода используются для оценки эффективности. (d) Принуждение работников: отказ от сбора биометрии вынуждает к худшим условиям.
Обработка (Этап 4): (a) Локальное устройство по каждому объекту; шаблоны зашифрованы ключами, управляемыми HSM; нет копии в облаке. (b) Рабочий процесс ручного переопределения при несовпадении; расчёт заработной платы не может производить удержание исключительно на основании сбоя регистрации прихода. (c) Договорной запрет + техническое разделение между данными регистрации прихода и HR-системами оценки эффективности. (d) Реальный путь отказа (запасной вариант с бейджем) без ущерба, задокументированный в соглашении с производственным советом.
Утверждение: Получена рекомендация DPO — рекомендовано удаление шаблонов лиц через 7 дней после прекращения занятости вместо 30. Контролёр принял. Получено согласование производственного совета. Остаточный риск: средне-низкий. Консультация с надзорным органом не требуется.
Сфокусированная DPIA по одной операции обработки: 2–4 недели частичной занятости по календарному времени. Сложная (новая продуктовая линейка, биометрия, ИИ-модель): 6–12 недель. Всё, что обозначается как «2 часа», не является настоящей DPIA.
Да — для обработки, уже находящейся в эксплуатации, применяется пересмотр по Статье 35(11). Надзорные органы принимают ретроспективные DPIA, когда обработка предшествовала GDPR или когда ранее освобождённая от DPIA обработка стала высокорисковой.
DPIA (Статья 35 GDPR) сосредоточена на рисках для прав и свобод в контексте обработки данных. FRIA (Статья 27 EU AI Act) распространяется на более широкие основные права для высокорисковых систем ИИ — дискриминацию, справедливость, влияние автоматизированных решений. Они пересекаются и могут быть объединены в единый артефакт для случаев использования ИИ.
Не требуется, но рекомендуется ICO. Публикация отредактированного резюме является сильным сигналом доверия. Чувствительные технические или коммерческие детали можно опустить; суть — цель, правовое основание, риски, меры по снижению — подлежит публикации.
У надзорного органа есть 8 недель для предоставления письменной рекомендации, с возможностью продления на 6 недель для сложных случаев. Они не могут наложить прямое вето, но могут вынести корректирующие меры по Статье 58, включая запреты на обработку. Планируйте соответственно — случаям по Статье 36 нужен запас в 3 месяца до запуска.
RegulatoryBridge проводит полные DPIA — пороговый тест, консультации с заинтересованными сторонами, взаимодействие с надзорным органом по Статье 36 при необходимости. Готовый к использованию артефакт, защищаемый при аудите.