数据保护影响评估模板
必要性测试:在分析过程中是否处理数据?是否使用了特别敏感的个人数据?
监管机构的要求:发布的黑名单/白名单是否经过检查?
描述:所有的加工操作是否都经过系统描述?是否已经注意到数据收集的目的何在?
数据保护合规性:是否遵守所有数据保护原则,例如目的限制、数据最小化和保密性?
风险评估:数据处理是否会对数据主体的权利和自由构成风险?
风险预防措施:是否针对每种风险指定了适当的缓解措施?
受影响者的观点:风险评估和预防中是否考虑到了这些问题?
经济学:公司结构是否已经适应风险评估的结果?数据保护部门是否有足够的财政资源?
数据保护影响评估模板(相关性检查)
DSFA 风险分析
最后,作为风险评估的初步阶段,根据数据类型确定要处理的个人数据的保护要求。这些分为正常保护需求(例如公共登记册)、高度保护需求(例如税务数据)和非常高的保护需求(例如某些刑事 乌拉圭号码数据 诉讼中的证人地址)。
最后,进行风险分析。这是一个风险评估程序,其工作方式与标准数据保护模型相同。这意味着可以将 GDPR 的法律要求转化为具体的技术和组织措施。在此过程中,清单会受到评估。处理所带来的风险是根据损害发生的概率和相应的级别确定的。数据保护影响评估通常仅对涉及侵犯权利和自由的高风险或极高风险的处理操作才是必要的。
谁必须进行数据保护影响评估?
根据 GDPR 第 35 条第 1 款,数据保护影响评估必须由 负责机构进行。然而,GDPR 第 35(2) 条明确规定,在任何情况下都必须在此背景下寻求建议和支持。据此,控制者在进行数据保护影响评估时,应当征求数据保护官的建议。当然,这只有在任命了数据保护官的情况下才适用。您可以在这里了解何时必须任命数据保护官。
在评估数据保护影响评估的必要性和具体实施情况时,负责机构可以借鉴其数据保护官员的专业知识。尽管GDPR规定数据保护官在DPIA中仅具有咨询作用,但在实践中往往有所不同,因为数据保护官往往在这种情况下发挥主导作用。