ارزیابی تأثیر حمایت از داده ها

ساخت وبلاگ

آخرین مطالب

امکانات وب

ارزیابی تأثیر حمایت از داده ها

دوره انتقال Brexit در تاریخ 31 دسامبر 2020 به پایان رسید. GDPR به عنوان GDPR انگلستان در قانون انگلستان حفظ شده است و همچنان در کنار قانون حمایت از داده ها 2018 ، با اصلاحات فنی برای اطمینان از عملکرد آن در قانون انگلیس ، ادامه خواهد یافت. اگر داده ها را از خارج از کشور منتقل یا دریافت می کنید ، لطفاً به صفحات انتقال و انتقال بین المللی ما مراجعه کنید. شما باید اطمینان حاصل کنید که می توانید اطلاعاتی را که قبل از پایان سال 2020 در مورد افراد خارج از انگلیس جمع آوری کرده اید ، شناسایی کنید ، برای اطلاعات بیشتر ، به داده های Q& A در میراث ما مراجعه کنید.

در تاریخ 01 ژانویه ، هیچ تغییری قابل توجهی در رژیم محافظت از داده های انگلیس یا معیارهایی که DPIA ها را به وجود می آورد ، ایجاد نمی شود. این راهنمایی به منابع اروپایی می پردازد که ما هنوز هم آن را مرتبط می دانیم و بنابراین این منابع بخشی از راهنمایی DPIA ما هستند.

ما این راهنمایی ها را تحت بررسی قرار خواهیم داد و آن را به روز می کنیم و در صورت تغییر هر جنبه ای از تعهدات شما یا رویکرد ما. لطفاً برای به روزرسانی به وب سایت ما ادامه دهید.

  • برای نمونه الگوی DPIA اینجا را کلیک کنید
  • برای تماس با ICO در مورد DPIA خود اینجا را کلیک کنید

در یک نگاه

  • ارزیابی تأثیر حمایت از داده ها (DPIA) فرایندی برای کمک به شما در شناسایی و به حداقل رساندن خطرات محافظت از داده های یک پروژه است.
  • شما باید یک DPIA را برای پردازش انجام دهید که احتمالاً منجر به ریسک بالای افراد خواهد شد. این شامل برخی از انواع مشخص شده پردازش است. شما می توانید از لیست های غربالگری ما استفاده کنید تا به شما در تصمیم گیری در مورد انجام DPIA کمک کنید.
  • همچنین انجام یک DPIA برای هر پروژه مهم دیگری که نیاز به پردازش داده های شخصی دارد ، خوب است.
  • DPIA شما باید:
    • ماهیت ، دامنه ، زمینه و اهداف پردازش را شرح دهید.
    • ارزیابی ضرورت ، تناسب و اقدامات انطباق ؛
    • شناسایی و ارزیابی خطرات برای افراد ؛وت
    • هرگونه اقدامات اضافی را برای کاهش این خطرات مشخص کنید.

    لیست چک

    لیست چک آگاهی DPIA

    ☐ ما آموزش را ارائه می دهیم تا کارکنان ما در مراحل اولیه هر برنامه ای که شامل داده های شخصی باشد ، نیاز به در نظر گرفتن DPIA را درک کنند.

    ☐ سیاست ها ، فرآیندها و رویه های موجود ما شامل اشاراتی به الزامات DPIA است.

    ☐ ما انواع پردازش را که به DPIA نیاز دارند درک می کنیم و از لیست چک غربالگری برای شناسایی نیاز به DPIA ، در صورت لزوم استفاده می کنیم.

    ☐ ما یک فرآیند DPIA را ایجاد و مستند کرده ایم.

    ☐ ما برای کارکنان مربوطه در مورد نحوه انجام DPIA آموزش می دهیم.

    لیست چک لیست DPIA

    ☐ ما در نظر داریم DPIA را در هر پروژه اصلی شامل استفاده از داده های شخصی انجام دهیم.

    ☐ ما در نظر داریم که اگر قصد داریم هر کار دیگری را انجام دهیم ، DPIA را انجام دهیم:

    ☐ ارزیابی یا امتیاز دهی ؛

    ☐ تصمیم گیری خودکار با اثرات قابل توجه ؛

    ☐ پردازش داده های حساس یا داده های دارای ماهیت بسیار شخصی.

    ☐ پردازش در مقیاس بزرگ ؛

    ☐ پردازش داده های مربوط به افراد آسیب پذیر داده ها.

    ☐ راه حل های نوآورانه فن آوری یا سازمانی ؛

    ☐ پردازش که شامل جلوگیری از استفاده از افراد داده از حق یا استفاده از سرویس یا قرارداد است.

    ☐ ما همیشه DPIA را انجام می دهیم اگر قصد داریم:

    ☐ از پروفایل سیستماتیک و گسترده یا تصمیم گیری خودکار برای تصمیم گیری های مهم در مورد افراد استفاده کنید.

    ☐ داده های دسته بندی ویژه یا داده های جرم و جنایت را در مقیاس بزرگ پردازش کنید.

    ☐ به طور سیستماتیک یک مکان در دسترس عمومی را در مقیاس بزرگ کنترل کنید.

    ☐ از فناوری نوآورانه در ترکیب با هر یک از معیارهای موجود در دستورالعمل های اروپایی استفاده کنید.

    ☐ از پروفایل ، تصمیم گیری خودکار یا داده های دسته بندی ویژه برای کمک به تصمیم گیری در مورد دسترسی شخصی به یک سرویس ، فرصت یا سود استفاده کنید.

    ☐ پروفایل را در مقیاس بزرگ انجام دهید.

    ☐ داده های بیومتریک یا ژنتیکی را در ترکیب با هر یک از معیارهای موجود در دستورالعمل های اروپایی فرآیند.

    ☐ داده ها را از چندین منبع ترکیب ، مقایسه یا مطابقت دهید.

    ☐ داده های شخصی را بدون ارائه یک اعلامیه حریم خصوصی به طور مستقیم به فرد در ترکیب با هر یک از معیارهای موجود در دستورالعمل های اروپایی پردازش کنید.

    data داده های شخصی را به گونه ای پردازش کنید که شامل ردیابی مکان یا رفتار بصورت آنلاین یا آفلاین افراد ، در ترکیب با هر یک از معیارهای موجود در دستورالعمل های اروپایی باشد.

    data داده های شخصی کودکان را برای پروفایل یا تصمیم گیری خودکار یا برای اهداف بازاریابی پردازش کنید ، یا خدمات آنلاین را مستقیماً به آنها ارائه دهید.

    ☐ داده های شخصی را پردازش کنید که در صورت نقض امنیتی می تواند منجر به آسیب جسمی شود.

    ☐ در صورت تغییر در ماهیت ، دامنه ، زمینه یا اهداف پردازش ما ، DPIA جدید را انجام می دهیم.

    ☐ اگر تصمیم داریم DPIA را انجام ندهیم ، دلایل خود را مستند می کنیم.

    لیست چک فرآیند DPIA

    ☐ ما ماهیت ، دامنه ، زمینه و اهداف پردازش را شرح می دهیم.

    ☐ ما از پردازنده های داده خود می خواهیم تا به ما در درک و مستند سازی فعالیت های پردازش آنها و شناسایی هرگونه خطرات مرتبط کمک کنند.

    ☐ ما در نظر می گیریم که چگونه بهتر می توانیم با افراد (یا نمایندگان آنها) و سایر ذینفعان مربوطه مشورت کنیم.

    ☐ ما از مشاوره مأمور حفاظت از داده های خود درخواست می کنیم.

    ☐ ما بررسی می کنیم که پردازش برای اهداف ما لازم و متناسب است ، و نحوه اطمینان از پیروی از اصول حفاظت از داده ها را توصیف می کنیم.

    ☐ ما ارزیابی عینی از احتمال و شدت هرگونه خطری را برای حقوق و علایق افراد انجام می دهیم.

    ☐ ما اقداماتی را که می توانیم برای از بین بردن یا کاهش ریسک های زیاد انجام دهیم ، شناسایی می کنیم.

    ☐ ما تصمیم گیری خود را در نتیجه DPIA ضبط می کنیم ، از جمله هرگونه اختلاف نظر با DPO یا افراد مشورت ما.

    ☐ ما اقداماتی را که شناسایی کردیم اجرا می کنیم و آنها را در برنامه پروژه خود ادغام می کنیم.

    ☐ اگر نمی توانیم خطرات زیادی را کاهش دهیم ، قبل از پردازش با ICO مشورت می کنیم.

    ☐ ما DPIA های خود را تحت بررسی قرار می دهیم و در صورت لزوم آنها را مجدداً مورد بررسی قرار می دهیم.

    آیا DPIA خوبی نوشتیم؟

    یک DPIA خوب به شما کمک می کند تا شواهد و مدارک را نشان دهید:

    • شما خطرات مربوط به پردازش مورد نظر خود را در نظر گرفته اید. وت
    • شما تعهدات حفاظت گسترده تری خود را برآورده کرده اید.

    این لیست چک به اطمینان از نوشتن DPIA خوب کمک می کند.

    ☐ تأیید کرد که آیا DPIA بررسی پردازش قبل از GDPR است یا پردازش در نظر گرفته شده ، از جمله جدول زمانی در هر دو مورد.

    ☐ توضیح داد که چرا ما به DPIA احتیاج داشتیم و جزئیات مربوط به پردازش در نظر گرفته شده را که به آن نیاز دارد ، شرح داد.

    socume سند را به روشنی ، سیستماتیک و منطقی ساختار داد.

    dist DPIA را به زبان انگلیسی ساده نوشت ، با یک مخاطب غیر تخصصی در ذهن ، هرگونه اصطلاح فنی و مخفف هایی را که از آنها استفاده کرده ایم توضیح می دهد.

    ☐ به طور واضح روابط بین کنترل کننده ها ، پردازنده ها ، سوژه ها و سیستم ها را با استفاده از نمودارهای متن و جریان داده در صورت لزوم تنظیم کنید.

    ☐ تضمین شده است که مشخصات هرگونه جریان داده های شخصی بین افراد ، سیستم ها ، سازمان ها و کشورها به وضوح توضیح داده شده و ارائه شده است.

    ☐ صریحاً اظهار داشت که چگونه ما با هر یک از اصول حفاظت از داده ها تحت GDPR پیروی می کنیم و به وضوح مبنای قانونی خود را برای پردازش (و شرایط خاص در صورت لزوم) توضیح دادیم.

    ☐ توضیح داد که چگونه ما قصد داریم از حقوق اطلاعات مربوط به موضوعات داده خود پشتیبانی کنیم.

    ☐ کلیه خطرات مربوط به حقوق و آزادی های افراد را مشخص کرد ، احتمال و شدت آنها را ارزیابی کرد و کلیه کاهش های مربوطه را شرح داد.

    ☐ به اندازه کافی توضیح داد که چگونه هرگونه کاهش پیشنهادی خطر شناسایی شده مورد نظر را کاهش می دهد.

    ☐ توجه ما را به هر گزینه ای کمتر خطرناک برای دستیابی به همان اهداف پردازش نشان داد ، و اینکه چرا آنها را انتخاب نکردیم.

    ☐ جزئیات مشاوره با ذینفعان (به عنوان مثال موضوعات داده ها، نهادهای نمایندگی) و خلاصه یافته ها ارائه شده است.

    ☐ هر سند اضافی مرتبطی را که در DPIA خود ارجاع می دهیم پیوست کرده ایم، به عنوان مثال. اعلامیه های حفظ حریم خصوصی، اسناد رضایت؛

    ☐ توصیه ها و توصیه های DPO ما (در صورت لزوم) را ثبت کرد و اطمینان حاصل کرد که DPIA توسط افراد مناسب امضا شده است.

    ☐ توافق و مستند به برنامه ای برای بازبینی منظم DPIA یا زمانی که ماهیت، دامنه، زمینه یا اهداف پردازش را تغییر می دهیم؛

    ☐ در صورت وجود خطرات بالای باقیمانده که نمی توانیم آنها را کاهش دهیم، با ICO مشورت کردیم.

    به طور خلاصه

    DPIA چیست؟

    DPIA راهی است که شما می توانید به طور سیستماتیک و جامع پردازش خود را تجزیه و تحلیل کنید و به شما کمک کند خطرات حفاظت از داده ها را شناسایی و به حداقل برسانید.

    DPIA باید خطرات انطباق، اما همچنین خطرات گسترده تری را برای حقوق و آزادی های افراد، از جمله احتمال آسیب های اجتماعی یا اقتصادی قابل توجه در نظر بگیرد. تمرکز بر احتمال آسیب - برای افراد یا جامعه در کل، خواه فیزیکی، مادی یا غیر مادی است.

    برای ارزیابی سطح ریسک، یک DPIA باید احتمال و شدت هر گونه تأثیر بر افراد را در نظر بگیرد.

    یک DPIA نباید نشان دهد که همه خطرات ریشه کن شده اند. اما باید به شما کمک کند تا آنها را مستند کنید و ارزیابی کنید که آیا خطرات باقی مانده موجه هستند یا خیر.

    DPIA یک الزام قانونی برای پردازش است که احتمالاً ریسک بالایی دارد. اما یک DPIA مؤثر همچنین می تواند انطباق، مزایای مالی و شهرت گسترده تری را به همراه داشته باشد و به شما کمک کند مسئولیت پذیری را نشان دهید و اعتماد و تعامل با افراد ایجاد کنید.

    یک DPIA ممکن است یک عملیات پردازش واحد یا گروهی از عملیات پردازش مشابه را پوشش دهد. گروهی از کنترلرها می توانند یک DPIA مشترک انجام دهند.

    مهم است که DPIA را در فرآیندهای سازمانی خود جای دهید و اطمینان حاصل کنید که نتیجه می تواند بر برنامه های شما تأثیر بگذارد. DPIA یک تمرین یکباره نیست. شما باید آن را به عنوان یک فرآیند مداوم که به طور منظم مورد بررسی قرار می گیرد ببینید.

    چه زمانی به DPIA نیاز داریم؟

    قبل از شروع هر نوع پردازشی که "احتمالاً منجر به ریسک بالایی می شود" باید یک DPIA انجام دهید. این بدان معناست که اگرچه شما هنوز سطح واقعی خطر را ارزیابی نکرده اید، باید عواملی را که به پتانسیل تأثیر گسترده یا جدی روی افراد اشاره می کنند، بررسی کنید.

    به طور خاص، GDPR انگلستان می گوید که اگر قصد دارید:

    • استفاده از پروفایل سیستماتیک و گسترده با اثرات قابل توجه.
    • پردازش داده های دسته بندی خاص یا جرم جنایی در مقیاس بزرگ؛یا
    • به طور سیستماتیک مکانهای قابل دسترسی عمومی را در مقیاس بزرگ کنترل کنید.

    هنگام در نظر گرفتن اینکه آیا پردازش شما احتمالاً منجر به ریسک بالا خواهد شد ، باید دستورالعمل های مربوط به اروپایی را در نظر بگیرید. اینها نه معیار عملیات پردازش را که احتمالاً منجر به ریسک بالا می شود ، تعریف می کنند. در حالی که دستورالعمل ها حاکی از آن است که ، در بیشتر موارد ، هرگونه عمل پردازش شامل دو یا چند مورد از این معیارها به DPIA نیاز دارد ، ممکن است در مورد خود در نظر بگیرید که فقط ملاقات با یک معیار می تواند به DPIA نیاز داشته باشد.

    ICO همچنین شما را ملزم به انجام DPIA در صورت برنامه ریزی می کند:

    • از فناوری نوآورانه (در ترکیب با هر یک از معیارهای دستورالعمل های اروپایی) استفاده کنید.
    • برای تصمیم گیری در مورد دسترسی به خدمات ، از پروفایل یا داده های دسته خاص استفاده کنید.
    • افراد پروفایل در مقیاس بزرگ ؛
    • داده های بیومتریک فرآیند (همراه با هر یک از معیارهای دستورالعمل های اروپایی).
    • داده های ژنتیکی فرآیند (همراه با هر یک از معیارهای دستورالعمل های اروپایی).
    • داده ها را مطابقت دهید یا مجموعه داده ها را از منابع مختلف ترکیب کنید.
    • جمع آوری داده های شخصی از یک منبع غیر از فرد بدون ارائه اخطار حریم خصوصی ("پردازش نامرئی") (در ترکیب با هر یک از معیارهای دستورالعمل های اروپایی).
    • موقعیت یا رفتار افراد را ردیابی کنید (در ترکیب با هر یک از معیارهای دستورالعمل های اروپایی).
    • پروفایل کودکان یا بازاریابی هدف یا خدمات آنلاین در آنها ؛یا
    • داده های پردازش شده که ممکن است در صورت نقض امنیتی ، سلامت جسمی یا ایمنی فرد را به خطر بیندازد.

    شما همچنین باید در مورد انجام DPIA برای هر پردازش دیگری که در مقیاس بزرگ باشد ، با دقت فکر کنید ، شامل پروفایل یا نظارت ، تصمیم گیری در مورد دسترسی به خدمات یا فرصت ها است ، یا شامل داده های حساس یا افراد آسیب پذیر می شود.

    حتی اگر نشانه خاصی از خطر زیاد وجود نداشته باشد ، انجام DPIA برای هر پروژه جدید جدید مربوط به استفاده از داده های شخصی خوب است. می توانید از لیست های چک استفاده یا تطبیق دهید تا به شما در انجام این تمرین غربالگری کمک کند.

    چگونه DPIA را انجام دهیم؟

    قبل از شروع پردازش ، یک DPIA باید در اوایل زندگی یک پروژه آغاز شود و در کنار روند برنامه ریزی و توسعه اجرا شود. این باید شامل این مراحل باشد:

    شما باید به دنبال مشاوره افسر حفاظت از داده های خود باشید (در صورت داشتن). همچنین باید در طول این روند با افراد و سایر ذینفعان مشورت کنید.

    این فرایند به گونه ای طراحی شده است که انعطاف پذیر و مقیاس پذیر باشد. شما می توانید از نمونه DPIA نمونه ما استفاده یا تطبیق دهید ، یا خود را ایجاد کنید. اگر می خواهید خود را ایجاد کنید ، ممکن است بخواهید به دستورالعمل های اروپایی مراجعه کنید که معیارهای DPIA قابل قبول را تعیین می کند

    اگرچه انتشار DPIA الزام GDPR انگلستان نیست ، اما باید به طور فعال مزایای انتشار را در نظر بگیرید. و همچنین نشان دادن انطباق ، انتشار می تواند به اعتماد و اعتماد به نفس کمک کند. بنابراین ما توصیه می کنیم که DPIA های خود را در صورت امکان منتشر کنید ، در صورت لزوم جزئیات حساس را حذف کنید.

    آیا ما باید با ICO مشورت کنیم؟

    لازم نیست هر DPIA را به ICO ارسال کنید و انتظار داریم درصد ارسال شده برای ما کوچک باشد. اما اگر DPIA شما ریسک بالایی را مشخص می کند ، باید با ICO مشورت کنید و برای کاهش این خطر نمی توانید اقدامات لازم را انجام دهید. تا زمانی که با ما مشورت نکرده باشید ، نمی توانید پردازش را شروع کنید.

    اگر می خواهید پروژه شما به طور مؤثر پیش برود ، سرمایه گذاری در تولید یک DPIA جامع ممکن است از هرگونه تأخیر در بعداً جلوگیری کند ، در صورتی که مجبور شوید با ICO مشورت کنید.

    شما باید یک نسخه از DPIA خود را برای ما ارسال کنید.

    هنگامی که اطلاعات مورد نیاز خود را داشته باشیم ، به طور کلی طی هشت هفته پاسخ خواهیم داد (اگرچه می توانیم این موارد را تا شش هفته دیگر در موارد پیچیده گسترش دهیم).

    ما یک پاسخ کتبی به شما ارائه می دهیم که به شما توصیه می کند که آیا خطرات قابل قبول هستند یا اینکه آیا شما نیاز به اقدام بیشتر دارید. در بعضی موارد ممکن است به شما توصیه کنیم که پردازش را انجام ندهید زیرا ما فکر می کنیم که این نقض GDPR است. در موارد مناسب ممکن است ما یک هشدار رسمی صادر کنیم یا برای ممنوعیت پردازش به طور کلی اقدام کنیم.

فارکس وکسب درامد...
ما را در سایت فارکس وکسب درامد دنبال می کنید

برچسب : نویسنده : احمد قانع پور بازدید : 43 تاريخ : شنبه 9 ارديبهشت 1402 ساعت: :

آرشیو مطالب

پيوندهای روزانه

لینک دوستان

خبرنامه