Publicat pe

Lista operatiunilor pentru care este necesara realizarea evaluarii DPIA

Având în vedere necesitatea asigurării unei protecţii eficiente a drepturilor
persoanelor ale căror date cu caracter personal sunt supuse prelucrării, în special în
cazul anumitor operaţiuni de prelucrare a datelor cu caracter personal care prezintă
riscuri pentru drepturile ┼či libert─â┼úile persoanelor, datorit─â naturii datelor prelucrate,
scopului prelucr─ârii, caracterului specific al categoriilor de persoane vizate sau
mecanismelor utilizate pentru prelucrarea datelor,

╚Üin├ónd cont de art. 35 (1) din Regulamentul (UE) 2016/679 privind protec╚Ťia
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și
privind libera circula╚Ťie a acestor date ╚Öi de abrogare a Directivei 95/46/CE
(Regulamentul general privind protec╚Ťia datelor) care prevede c─â, av├ónd ├«n vedere
natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip
de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să
genereze un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, operatorul
efectueaz─â, ├«naintea prelucr─ârii, o evaluare a impactului opera╚Ťiunilor de prelucrare
prev─âzute asupra protec╚Ťiei datelor cu caracter personal,

Luând în considerare art. 35 (4) din Regulamentul (UE) 2016/679 care prevede
c─â autoritatea de supraveghere ├«ntocme╚Öte ╚Öi public─â o list─â a tipurilor de opera╚Ťiuni
de prelucrare care fac obiectul cerin╚Ťei de efectuare a unei evalu─âri a impactului
asupra protec╚Ťiei datelor, pe care o comunic─â Comitetului european pentru protec╚Ťia
datelor,

Ținând cont de art. 63 din Regulamentul (UE) 2016/679 care prevede că, pentru
a contribui la aplicarea coerent─â a regulamentului ├«n ├«ntreaga Uniune, autorit─â╚Ťile de
supraveghere cooperează între ele și, după caz, cu Comisia prin mecanismul pentru
asigurarea coeren╚Ťei,

Luând în considerare art. 64 (4) lit. a) din Regulamentul (UE) 2016/679, potrivit
c─âruia Comitetul european pentru protec╚Ťia datelor emite un aviz de fiecare dat─â
c├ónd o autoritate de supraveghere competent─â inten╚Ťioneaz─â s─â adopte lista de
opera╚Ťiuni de prelucrare care fac obiectul cerin╚Ťei de efectuare a unei evalu─âri a
impactului asupra protec╚Ťiei datelor,

Având în vedere art. 35 (10) din Regulamentul (UE) 2016/679 care prevede că
atunci când prelucrarea în temeiul art. 6 (1) litera c) sau e) are un temei juridic în
dreptul Uniunii sau al unui stat membru sub inciden╚Ťa c─âruia intr─â operatorul, iar
dreptul respectiv reglementeaz─â opera╚Ťiunea de prelucrare specific─â sau setul de
opera╚Ťiuni specifice ├«n cauz─â ╚Öi deja s-a efectuat o evaluare a impactului asupra
protec╚Ťiei datelor ca parte a unei evalu─âri a impactului generale ├«n contextul adopt─ârii
respectivului temei juridic, alin. (1)-(7) ale art. 35 din Regulamentul (UE) 2016/679
nu se aplic─â, cu excep╚Ťia cazului ├«n care statele membre consider─â c─â este necesar─â
efectuarea unei astfel de evalu─âri ├«naintea desf─â╚Öur─ârii activit─â╚Ťilor de prelucrare,
Ținând cont de art. 35 (11) din Regulamentul (UE) 2016/679 care prevede că
acolo unde este necesar, operatorul efectueaz─â o analiz─â pentru a evalua dac─â
prelucrarea are loc ├«n conformitate cu evaluarea impactului asupra protec╚Ťiei datelor,
cel pu╚Ťin atunci c├ónd are loc o modificare a riscului reprezentat de opera╚Ťiunile de
prelucrare,

Având în vedere considerentul (71) al Regulamentului (UE) 2016/679 potrivit
c─âruia persoana vizat─â ar trebui s─â aib─â dreptul de a nu face obiectul unei decizii,
care poate include o m─âsur─â, care evalueaz─â aspecte personale referitoare la
persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce
efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o
m─âsur─â semnificativ─â, cum ar fi refuzul automat al unei cereri de credit online sau
practicile de recrutare pe cale electronic─â, f─âr─â interven╚Ťie uman─â; o astfel de
prelucrare include ÔÇ×crearea de profiluriÔÇŁ, care const─â ├«n orice form─â de prelucrare
automat─â a datelor cu caracter personal prin evaluarea aspectelor personale
referitoare la o persoană fizică, în special în vederea analizării sau preconizării
anumitor aspecte privind randamentul la locul de munc─â al persoanei vizate, situa╚Ťia
economic─â, starea de s─ân─âtate, preferin╚Ťele sau interesele personale, fiabilitatea sau
comportamentul, loca╚Ťia sau deplas─ârile, atunci c├ónd aceasta produce efecte juridice
care privesc persoana vizată sau o afectează în mod similar într-o măsură
semnificativ─â; cu toate acestea, luarea de decizii pe baza unei astfel de prelucr─âri,

inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată
personală, în special analizarea sau previzionarea unor aspecte privind randamentul
la locul de munc─â, situa╚Ťia economic─â, starea de s─ân─âtate, preferin╚Ťele sau interesele
personale, fiabilitatea sau comportamentul, loca╚Ťia sau deplas─ârile, ├«n scopul de a se
crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal
ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un
volum mare de date cu caracter personal și afectează un număr larg de persoane
vizate,

Având în vedere considerentul (84) al Regulamentului (UE) 2016/679 potrivit
c─âruia, pentru a favoriza respectarea dispozi╚Ťiilor prezentului regulament ├«n cazurile
├«n care opera╚Ťiunile de prelucrare sunt susceptibile s─â genereze un risc ridicat pentru
drepturile ╚Öi libert─â╚Ťile persoanelor fizice, operatorul ar trebui s─â fie responsabil de
efectuarea unei evalu─âri a impactului asupra protec╚Ťiei datelor, care s─â estimeze, ├«n
special, originea, natura, specificitatea și gravitatea acestui risc; rezultatul evaluării ar
trebui luat în considerare la stabilirea măsurilor adecvate care trebuie luate pentru a
demonstra c─â prelucrarea datelor cu caracter personal respect─â prezentul
regulament; ├«n cazul ├«n care o evaluare a impactului asupra protec╚Ťiei datelor arat─â
c─â opera╚Ťiunile de prelucrare implic─â un risc ridicat, pe care operatorul nu ├«l poate
atenua prin măsuri adecvate sub aspectul tehnologiei disponibile și al costurilor
implement─ârii, ar trebui s─â aib─â loc o consultare a autorit─â╚Ťii de supraveghere ├«nainte
de prelucrare,

Având în vedere considerentul (89) al Regulamentului (UE) 2016/679 potrivit
c─âruia Directiva 95/46/CE a prev─âzut o obliga╚Ťie general─â de a notifica prelucrarea
datelor cu caracter personal autorit─â╚Ťilor de supraveghere; cu toate c─â obliga╚Ťia
respectivă generează sarcini administrative și financiare, aceasta nu a contribuit
├«ntotdeauna la ├«mbun─ât─â╚Ťirea protec╚Ťiei datelor cu caracter personal; prin urmare,
astfel de obliga╚Ťii de notificare general─â nediferen╚Ťiat─â ar trebui s─â fie abrogate ╚Öi
înlocuite cu proceduri și mecanisme eficace care să pună accentul, în schimb, pe
acele tipuri de opera╚Ťiuni de prelucrare susceptibile s─â genereze un risc ridicat pentru
drepturile ╚Öi libert─â╚Ťile persoanelor fizice prin ├«ns─â╚Öi natura lor, prin domeniul lor de
aplicare, prin contextul ╚Öi prin scopurile lor; astfel de tipuri de opera╚Ťiuni de
prelucrare pot fi cele care presupun, în special, utilizarea unor noi tehnologii sau care
reprezint─â un nou tip de opera╚Ťiuni, pentru care nicio evaluare a impactului asupra
protec╚Ťiei datelor nu a fost efectuat─â anterior de c─âtre operator ori care devin
necesare dat─â fiind perioada de timp care s-a scurs de la prelucrarea ini╚Ťial─â,

Având în vedere considerentul (90) al Regulamentului (UE) 2016/679 potrivit
căruia operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a
impactului asupra protec╚Ťiei datelor, ├«n scopul evalu─ârii gradului specific de
probabilitate a materializării riscului ridicat și gravitatea acestuia, având în vedere
natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și sursele
riscului; respectiva evaluare a impactului ar trebui să includă, în special, măsurile,
garan╚Ťiile ╚Öi mecanismele avute ├«n vedere pentru atenuarea riscului respectiv, pentru
asigurarea protec╚Ťiei datelor cu caracter personal ╚Öi pentru demonstrarea
conformit─â╚Ťii cu prezentul regulament,

Având în vedere considerentul (91) al Regulamentului (UE) 2016/679 potrivit
c─âruia evaluarea impactului asupra protec╚Ťiei datelor ar trebui s─â se aplice, ├«n special,
opera╚Ťiunilor de prelucrare la scar─â larg─â, care au drept obiectiv prelucrarea unui
volum considerabil de date cu caracter personal la nivel regional, na╚Ťional sau
suprana╚Ťional, care ar putea afecta un num─âr mare de persoane vizate ╚Öi care sunt
susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilit─â╚Ťii lor, ├«n
cazul ├«n care, ├«n conformitate cu nivelul atins al cuno╚Ötin╚Ťelor tehnologice, se
folose╚Öte la scar─â larg─â o tehnologie nou─â, precum ╚Öi altor opera╚Ťiuni de prelucrare
care genereaz─â un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor vizate, ├«n
special ├«n cazul ├«n care opera╚Ťiunile respective limiteaz─â capacitatea persoanelor
vizate de a-și exercita drepturile; ar trebui efectuată o evaluare a impactului asupra
protec╚Ťiei datelor ╚Öi ├«n situa╚Ťiile ├«n care datele cu caracter personal sunt prelucrate ├«n
scopul luării de decizii care vizează anumite persoane fizice în urma unei evaluări
sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, pe
baza creării de profiluri pentru datele respective, sau în urma prelucrării unor
categorii speciale de date cu caracter personal, a unor date biometrice sau a unor
date privind condamn─ârile penale ╚Öi infrac╚Ťiunile sau m─âsurile de securitate conexe;
este la fel de necesar─â o evaluare a impactului asupra protec╚Ťiei datelor pentru
monitorizarea la scară largă a zonelor accesibile publicului, mai ales în cazul utilizării
dispozitivelor optoelectronice sau pentru orice alte opera╚Ťiuni ├«n cazul ├«n care
autoritatea de supraveghere competent─â consider─â c─â prelucrarea este susceptibil─â
de a genera un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor vizate, ├«n special
deoarece acestea împiedică persoanele vizate să exercite un drept sau să utilizeze un
serviciu ori un contract, sau deoarece acestea sunt efectuate în mod sistematic la
scar─â larg─â; prelucrarea datelor cu caracter personal nu ar trebui considerat─â a fi la
scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la
pacien╚Ťi sau clien╚Ťi de c─âtre un anumit medic, un alt profesionist ├«n domeniul s─ân─ât─â╚Ťii
sau un avocat; ├«n aceste cazuri, o evaluare a impactului asupra protec╚Ťiei datelor nu
ar trebui s─â fie obligatorie,

Având în vedere considerentul (92) al Regulamentului (UE) 2016/679 potrivit
c─âruia ├«n unele circumstan╚Ťe ar putea fi rezonabil ╚Öi util din punct de vedere
economic ca o evaluare a impactului asupra protec╚Ťiei datelor s─â aib─â o perspectiv─â
mai extins─â dec├ót cea a unui singur proiect, de exemplu ├«n cazul ├«n care autorit─â╚Ťi sau
organisme publice inten╚Ťioneaz─â s─â instituie o aplica╚Ťie sau o platform─â de prelucrare
comun─â sau ├«n cazul ├«n care mai mul╚Ťi operatori preconizeaz─â s─â introduc─â o aplica╚Ťie
comună sau un mediu de prelucrare comun în cadrul unui sector sau segment
industrial sau pentru o activitate orizontal─â utilizat─â la scar─â larg─â,

Având în vedere considerentul (94) al Regulamentului (UE) 2016/679 potrivit
c─âruia, ├«n cazul ├«n care o evaluare a impactului asupra protec╚Ťiei datelor arat─â c─â
prelucrarea ar genera, ├«n absen╚Ťa garan╚Ťiilor, m─âsurilor de securitate ╚Öi mecanismelor
de atenuare a riscului, un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice,
iar operatorul consider─â c─â riscul nu poate fi atenuat prin mijloace rezonabile sub
aspectul tehnologiilor disponibile și al costurilor implementării, autoritatea de
supraveghere ar trebui s─â fie consultat─â ├«nainte de ├«nceperea activit─â╚Ťilor de
prelucrare; un astfel de risc ridicat este susceptibil s─â fie generat de anumite tipuri de
prelucrare, precum ╚Öi de amploarea ╚Öi frecven╚Ťa prelucr─ârii, care pot duce ╚Öi la
producerea unor prejudicii sau pot atinge drepturile ╚Öi libert─â╚Ťile persoanelor fizice;
autoritatea de supraveghere ar trebui să răspundă cererii de consultare într-un
anumit termen; cu toate acestea, lipsa unei reac╚Ťii din partea autorit─â╚Ťii de
supraveghere ├«n termenul respectiv ar trebui s─â nu aduc─â atingere niciunei interven╚Ťii
a autorit─â╚Ťii de supraveghere ├«n conformitate cu sarcinile ╚Öi competen╚Ťele sale
prev─âzute ├«n prezentul regulament, inclusiv competen╚Ťa de a interzice opera╚Ťiuni de
prelucrare; ca parte a acestui proces de consultare, rezultatul unei evalu─âri a
impactului asupra protec╚Ťiei datelor efectuate cu privire la prelucrarea ├«n cauz─â poate
fi transmis autorit─â╚Ťii de supraveghere, ├«n special m─âsurile avute ├«n vedere pentru a
atenua riscul pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice,

├Än temeiul prevederilor art. 3 alin. (5) ┼či (6) din Legea nr. 102/2005 privind
├«nfiin┼úarea, organizarea ┼či func┼úionarea Autorit─â┼úii Na┼úionale de Supraveghere a
Prelucr─ârii Datelor cu Caracter Personal, cu modific─ârile ┼či complet─ârile ulterioare, ┼či
ale art. 6 alin. (2) lit. b) din Regulamentul de organizare ┼či func┼úionare a Autorit─â┼úii
Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin
Hot─âr├órea Biroului permanent al Senatului nr. 16/2005, cu modific─ârile ┼či complet─ârile
ulterioare, pre┼čedintele Autorit─â┼úii Na┼úionale de Supraveghere a Prelucr─ârii Datelor cu
Caracter Personal emite prezenta decizie.

Art. 1┬áEvaluarea impactului asupra protec╚Ťiei datelor cu caracter personal de c─âtre operatori┬áeste necesar─â ├«n urm─âtoarele cazuri:

Materialul complet poate fi desc─ârcat de aici

Las─â un r─âspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.


Dac─â considera╚Ťi c─â ave╚Ťi nevoie de suport ├«n desf─â╚Öurarea DPIA sau nu ├«n╚Ťelege╚Ťi dac─â trebuie s─â efectua╚Ťi aceast─â evaluare ├«n cadrul organiza╚Ťiei dvs., v─â ├«ndrum─âm spre exper╚Ťii no╚Ötri ├«n materie de protec╚Ťia a datelor┬á personale, implementare si conformitate GDPR, desf─â╚Öurarea opera╚Ťiunilor ╚Öi activit─â╚Ťii de DPO. Pute╚Ťi aplea la serviciile profesionale de consultan╚Ť─â GDPR de specialitate cu un simplu click.


Pentru a evita sanctiuni uriase financiare si de imagine va recomandam sa verificati GRATUIT online daca compania / institutia dvs trebuie, sa fie conforma cu GDPR ÔÇô Regulamentul European 679/2016 si daca trebuie sa externalizati un DPO sau sa aveti desemnat o persoana pe pozitia de DPO Responsabil cu protectia datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.