Publicat pe

Lista operatiunilor pentru care este necesara realizarea evaluarii DPIA

Având în vedere necesitatea asigurării unei protecţii eficiente a drepturilor
persoanelor ale căror date cu caracter personal sunt supuse prelucrării, în special în
cazul anumitor operaţiuni de prelucrare a datelor cu caracter personal care prezintă
riscuri pentru drepturile şi libertăţile persoanelor, datorită naturii datelor prelucrate,
scopului prelucrării, caracterului specific al categoriilor de persoane vizate sau
mecanismelor utilizate pentru prelucrarea datelor,

Ținând cont de art. 35 (1) din Regulamentul (UE) 2016/679 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și
privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecția datelor) care prevede că, având în vedere
natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip
de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să
genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul
efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare
prevăzute asupra protecției datelor cu caracter personal,

Luând în considerare art. 35 (4) din Regulamentul (UE) 2016/679 care prevede
că autoritatea de supraveghere întocmește și publică o listă a tipurilor de operațiuni
de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului
asupra protecției datelor, pe care o comunică Comitetului european pentru protecția
datelor,

Ținând cont de art. 63 din Regulamentul (UE) 2016/679 care prevede că, pentru
a contribui la aplicarea coerentă a regulamentului în întreaga Uniune, autoritățile de
supraveghere cooperează între ele și, după caz, cu Comisia prin mecanismul pentru
asigurarea coerenței,

Luând în considerare art. 64 (4) lit. a) din Regulamentul (UE) 2016/679, potrivit
căruia Comitetul european pentru protecția datelor emite un aviz de fiecare dată
când o autoritate de supraveghere competentă intenționează să adopte lista de
operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a
impactului asupra protecției datelor,

Având în vedere art. 35 (10) din Regulamentul (UE) 2016/679 care prevede că
atunci când prelucrarea în temeiul art. 6 (1) litera c) sau e) are un temei juridic în
dreptul Uniunii sau al unui stat membru sub incidența căruia intră operatorul, iar
dreptul respectiv reglementează operațiunea de prelucrare specifică sau setul de
operațiuni specifice în cauză și deja s-a efectuat o evaluare a impactului asupra
protecției datelor ca parte a unei evaluări a impactului generale în contextul adoptării
respectivului temei juridic, alin. (1)-(7) ale art. 35 din Regulamentul (UE) 2016/679
nu se aplică, cu excepția cazului în care statele membre consideră că este necesară
efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare,
Ținând cont de art. 35 (11) din Regulamentul (UE) 2016/679 care prevede că
acolo unde este necesar, operatorul efectuează o analiză pentru a evalua dacă
prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor,
cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de
prelucrare,

Având în vedere considerentul (71) al Regulamentului (UE) 2016/679 potrivit
căruia persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii,
care poate include o măsură, care evaluează aspecte personale referitoare la
persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce
efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o
măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau
practicile de recrutare pe cale electronică, fără intervenție umană; o astfel de
prelucrare include „crearea de profiluri”, care constă în orice formă de prelucrare
automată a datelor cu caracter personal prin evaluarea aspectelor personale
referitoare la o persoană fizică, în special în vederea analizării sau preconizării
anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația
economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau
comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice
care privesc persoana vizată sau o afectează în mod similar într-o măsură
semnificativă; cu toate acestea, luarea de decizii pe baza unei astfel de prelucrări,

inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată
personală, în special analizarea sau previzionarea unor aspecte privind randamentul
la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele
personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se
crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal
ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un
volum mare de date cu caracter personal și afectează un număr larg de persoane
vizate,

Având în vedere considerentul (84) al Regulamentului (UE) 2016/679 potrivit
căruia, pentru a favoriza respectarea dispozițiilor prezentului regulament în cazurile
în care operațiunile de prelucrare sunt susceptibile să genereze un risc ridicat pentru
drepturile și libertățile persoanelor fizice, operatorul ar trebui să fie responsabil de
efectuarea unei evaluări a impactului asupra protecției datelor, care să estimeze, în
special, originea, natura, specificitatea și gravitatea acestui risc; rezultatul evaluării ar
trebui luat în considerare la stabilirea măsurilor adecvate care trebuie luate pentru a
demonstra că prelucrarea datelor cu caracter personal respectă prezentul
regulament; în cazul în care o evaluare a impactului asupra protecției datelor arată
că operațiunile de prelucrare implică un risc ridicat, pe care operatorul nu îl poate
atenua prin măsuri adecvate sub aspectul tehnologiei disponibile și al costurilor
implementării, ar trebui să aibă loc o consultare a autorității de supraveghere înainte
de prelucrare,

Având în vedere considerentul (89) al Regulamentului (UE) 2016/679 potrivit
căruia Directiva 95/46/CE a prevăzut o obligație generală de a notifica prelucrarea
datelor cu caracter personal autorităților de supraveghere; cu toate că obligația
respectivă generează sarcini administrative și financiare, aceasta nu a contribuit
întotdeauna la îmbunătățirea protecției datelor cu caracter personal; prin urmare,
astfel de obligații de notificare generală nediferențiată ar trebui să fie abrogate și
înlocuite cu proceduri și mecanisme eficace care să pună accentul, în schimb, pe
acele tipuri de operațiuni de prelucrare susceptibile să genereze un risc ridicat pentru
drepturile și libertățile persoanelor fizice prin însăși natura lor, prin domeniul lor de
aplicare, prin contextul și prin scopurile lor; astfel de tipuri de operațiuni de
prelucrare pot fi cele care presupun, în special, utilizarea unor noi tehnologii sau care
reprezintă un nou tip de operațiuni, pentru care nicio evaluare a impactului asupra
protecției datelor nu a fost efectuată anterior de către operator ori care devin
necesare dată fiind perioada de timp care s-a scurs de la prelucrarea inițială,

Având în vedere considerentul (90) al Regulamentului (UE) 2016/679 potrivit
căruia operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a
impactului asupra protecției datelor, în scopul evaluării gradului specific de
probabilitate a materializării riscului ridicat și gravitatea acestuia, având în vedere
natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și sursele
riscului; respectiva evaluare a impactului ar trebui să includă, în special, măsurile,
garanțiile și mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru
asigurarea protecției datelor cu caracter personal și pentru demonstrarea
conformității cu prezentul regulament,

Având în vedere considerentul (91) al Regulamentului (UE) 2016/679 potrivit
căruia evaluarea impactului asupra protecției datelor ar trebui să se aplice, în special,
operațiunilor de prelucrare la scară largă, care au drept obiectiv prelucrarea unui
volum considerabil de date cu caracter personal la nivel regional, național sau
supranațional, care ar putea afecta un număr mare de persoane vizate și care sunt
susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilității lor, în
cazul în care, în conformitate cu nivelul atins al cunoștințelor tehnologice, se
folosește la scară largă o tehnologie nouă, precum și altor operațiuni de prelucrare
care generează un risc ridicat pentru drepturile și libertățile persoanelor vizate, în
special în cazul în care operațiunile respective limitează capacitatea persoanelor
vizate de a-și exercita drepturile; ar trebui efectuată o evaluare a impactului asupra
protecției datelor și în situațiile în care datele cu caracter personal sunt prelucrate în
scopul luării de decizii care vizează anumite persoane fizice în urma unei evaluări
sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, pe
baza creării de profiluri pentru datele respective, sau în urma prelucrării unor
categorii speciale de date cu caracter personal, a unor date biometrice sau a unor
date privind condamnările penale și infracțiunile sau măsurile de securitate conexe;
este la fel de necesară o evaluare a impactului asupra protecției datelor pentru
monitorizarea la scară largă a zonelor accesibile publicului, mai ales în cazul utilizării
dispozitivelor optoelectronice sau pentru orice alte operațiuni în cazul în care
autoritatea de supraveghere competentă consideră că prelucrarea este susceptibilă
de a genera un risc ridicat pentru drepturile și libertățile persoanelor vizate, în special
deoarece acestea împiedică persoanele vizate să exercite un drept sau să utilizeze un
serviciu ori un contract, sau deoarece acestea sunt efectuate în mod sistematic la
scară largă; prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la
scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la
pacienți sau clienți de către un anumit medic, un alt profesionist în domeniul sănătății
sau un avocat; în aceste cazuri, o evaluare a impactului asupra protecției datelor nu
ar trebui să fie obligatorie,

Având în vedere considerentul (92) al Regulamentului (UE) 2016/679 potrivit
căruia în unele circumstanțe ar putea fi rezonabil și util din punct de vedere
economic ca o evaluare a impactului asupra protecției datelor să aibă o perspectivă
mai extinsă decât cea a unui singur proiect, de exemplu în cazul în care autorități sau
organisme publice intenționează să instituie o aplicație sau o platformă de prelucrare
comună sau în cazul în care mai mulți operatori preconizează să introducă o aplicație
comună sau un mediu de prelucrare comun în cadrul unui sector sau segment
industrial sau pentru o activitate orizontală utilizată la scară largă,

Având în vedere considerentul (94) al Regulamentului (UE) 2016/679 potrivit
căruia, în cazul în care o evaluare a impactului asupra protecției datelor arată că
prelucrarea ar genera, în absența garanțiilor, măsurilor de securitate și mecanismelor
de atenuare a riscului, un risc ridicat pentru drepturile și libertățile persoanelor fizice,
iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile sub
aspectul tehnologiilor disponibile și al costurilor implementării, autoritatea de
supraveghere ar trebui să fie consultată înainte de începerea activităților de
prelucrare; un astfel de risc ridicat este susceptibil să fie generat de anumite tipuri de
prelucrare, precum și de amploarea și frecvența prelucrării, care pot duce și la
producerea unor prejudicii sau pot atinge drepturile și libertățile persoanelor fizice;
autoritatea de supraveghere ar trebui să răspundă cererii de consultare într-un
anumit termen; cu toate acestea, lipsa unei reacții din partea autorității de
supraveghere în termenul respectiv ar trebui să nu aducă atingere niciunei intervenții
a autorității de supraveghere în conformitate cu sarcinile și competențele sale
prevăzute în prezentul regulament, inclusiv competența de a interzice operațiuni de
prelucrare; ca parte a acestui proces de consultare, rezultatul unei evaluări a
impactului asupra protecției datelor efectuate cu privire la prelucrarea în cauză poate
fi transmis autorității de supraveghere, în special măsurile avute în vedere pentru a
atenua riscul pentru drepturile și libertățile persoanelor fizice,

În temeiul prevederilor art. 3 alin. (5) şi (6) din Legea nr. 102/2005 privind
înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare, şi
ale art. 6 alin. (2) lit. b) din Regulamentul de organizare şi funcţionare a Autorităţii
Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin
Hotărârea Biroului permanent al Senatului nr. 16/2005, cu modificările şi completările
ulterioare, preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal emite prezenta decizie.

Art. 1 Evaluarea impactului asupra protecției datelor cu caracter personal de către operatori este necesară în următoarele cazuri:

Materialul complet poate fi descărcat de aici