DPIA：何时进行影响评估

什么是DPIA？

数据保护影响评估（DPIA）是一个旨在识别和最小化项目或处理活动的数据保护风险的过程。

何时强制要求？

当处理“可能对自然人的权利和自由导致高风险”时，GDPR要求进行DPIA。这包括：

强制性情况

1. 系统性和广泛的评估：具有重大影响的个人画像
2. 大规模处理敏感数据：健康数据、生物识别数据等。
3. 系统性监控公共区域：大规模视频监控

高风险指标

• 评估或评分
• 具有法律效力的自动决策
• 系统性监控
• 敏感或高度个人化的数据
• 大规模处理
• 数据集的匹配
• 弱势主体的数据
• 技术的创新使用
• 阻止行使权利的处理

DPIA方法论

1. 处理描述

• 性质、范围、背景和目的
• 处理的数据和涉及的主体
• 数据流和使用的系统

2. 必要性和相称性评估

• 充分的法律依据
• 数据最小化
• 保留期限

3. 风险识别

• 对数据主体的风险
• 可能性和严重性
• 风险来源

4. 缓解措施

• 技术措施
• 组织措施
• 保证和保障措施

5. 文件记录和审查

• 评估记录
• 实施计划
• 定期审查

事先咨询

如果在DPIA之后剩余风险仍然很高，您应在开始处理之前咨询监管机构。

结论

DPIA是一项重要的问责和风险管理工具。如果执行得当，它可以保护组织和数据主体。