О чём эта статья
Статья 35 — Оценка воздействия на защиту данных (DPIA, Data Protection Impact Assessment). Контролёр обязан её проводить до начала обработки, если есть высокий риск.
35(1) — Когда обязательно
Если тип обработки, особенно с использованием новых технологий, и с учётом её характера, объёма, контекста и целей, может привести к высокому риску для прав и свобод физических лиц, контролёр до начала обработки должен провести оценку воздействия.
35(3) — Обязательные случаи
DPIA обязательно требуется в случае:
(a) систематической и обширной оценки личных аспектов на основе автоматизированной обработки, включая профилирование, на основе которой принимаются решения, порождающие правовые последствия или существенно затрагивающие физическое лицо;
(b) обработки в большом масштабе особых категорий данных (Art. 9) или данных о судимостях (Art. 10);
(c) систематического мониторинга публично доступных мест в большом масштабе.
35(7) — Содержание DPIA
DPIA должна содержать как минимум:
(a) систематическое описание предполагаемых операций обработки и их целей;
(b) оценку необходимости и пропорциональности обработки;
(c) оценку рисков для прав и свобод субъектов;
(d) меры для устранения этих рисков, включая гарантии, меры безопасности и механизмы обеспечения защиты данных.
35(9) — Учёт мнения субъектов
Где это уместно, контролёр должен запросить мнения субъектов данных или их представителей о предполагаемой обработке.
35(10) — Случаи без DPIA
DPIA не требуется, если оценка уже была проведена в рамках общей оценки воздействия в правовом акте.
Почему это важно для аудита
DPIA — это формальный документ, без которого обработка высокого риска незаконна. Если сайт обрабатывает Art. 9-данные (медицинские, генетические, биометрические) и DPIA не было — это уже нарушение само по себе, без оценки результата обработки.
Многие государственные системы (включая genomics.ut.ee, terviseportaal.ee) обязаны иметь публичную DPIA. Её отсутствие или непубличность — нарушение прозрачности.