英国的独立机构设立了公共利益的持久信息权利,通过公共机构和个人的数据隐私促进开放性。

Brexit过渡期于2020年12月31日终止.GDPR已保留在英国法律中作为英国GDPR,并将继续与2018年数据保护法诉讼,技术修正案,以确保其在英国法律上运作。如果您从海外转移或接收数据,请访问我们的过渡结束国际转移页面。您应该确保您可以识别您在2020年底之前收集的任何数据,了解英国以外的人,了解更多信息,请参阅遗留数据上的Q&A。

1月1日,英国数据保护制度并没有任何重大的变化,或强制DPIAS的标准。本指南借鉴了我们仍认为相关的欧洲资源,因此这些资源仍然是我们的DPIA指导的一部分。

我们将在审核下保留此指导并将其更新为您的义务或我们的方法的任何方面。请继续监控我们的网站以获取更新。

乍看上去

  • 数据保护影响评估(DPIA)是一个帮助您识别和最小化项目的数据保护风险的过程。
  • 您必须执行DPIA以进行处理可能导致风险很高个人。这包括一些特定类型的处理。您可以使用我们的筛选清单来帮助您决定何时做DPIA。
  • 为任何其他需要处理个人数据的其他主要项目做DPIA也是良好做法。
  • 你的DPIA必须:
    • 描述加工的性质,范围,背景和目的;
    • 评估必要性,比例和合规措施;
    • 确定和评估个人的风险;和
    • 确定减轻这些风险的任何额外措施。
  • 为了评估风险程度,您必须考虑对个人产生任何影响的可能性和严重程度。高风险可能是由于造成一些危害的高概率,或造成严重伤害的可能性。
  • 您应该咨询您的数据保护官(如果您有一个),并在适当的情况下,个人和相关专家。任何处理器也可能需要帮助您。
  • 如果您确定无法缓解的高风险,则必须在开始处理之前咨询ICO。
  • 如果您正在处理法律执行目的,您应该遵守这一点执法处理指南
  • ICO将在八周内或在复杂案件中提供书面建议。如果合适,我们可能会发出正式警告,而不是处理数据,或完全禁止处理。

清单

DPIA认识清单

我们提供培训,以便我们的员工了解需要在涉及个人数据的任何计划的早期阶段考虑DPIA的必要性。

我们现有的政策,流程和程序包括对DPIA要求的引用。

我们了解需要DPIA的处理类型,并使用筛选清单来确定必要时对DPIA的需求。

我们已创建并记录了DPIA进程。

我们为相关员工提供培训,以如何执行DPIA。

DPIA筛选清单

☐我们考虑在任何涉及个人数据的主要项目中进行DPIA。

☐如果我们计划执行任何其他人,我们考虑是否执行DPIA:

☐评估或得分;

☐具有显着效果的自动决策;

☐系统监测;

☐处理敏感数据或高度个人性质的数据;

☐大规模处理;

☐处理有关弱势数据主体的数据;

☐创新的技术或组织解决方案;

☐涉及防止数据受试者锻炼权利或使用服务或合同的处理

☐如果我们计划的话,我们总是进行DPIA

☐使用系统和广泛的分析或自动化决策,为人们做出重大决定;

☐处理大规模的特殊类别数据或刑事犯罪数据;

☐系统地监测大规模的公开可访问的位置;

使用创新技术与欧洲准则中的任何标准相结合;

☐使用分析,自动化决策或特殊类别数据,以帮助决定某人对服务,机会或利益的访问;

在大规模上执行貌相;

☐处理生物识别或遗传数据与欧洲准则中的任何标准组合;

组合,比较或匹配来自多个来源的数据;

☐处理个人数据,而不与欧洲准则中的任何标准组合直接向个人提供隐私声明;

处理个人数据,涉及跟踪个人的在线或离线位置或行为,与欧洲指南的任何标准相结合;

处理儿童的个人数据,用于分析或自动化决策或用于营销目的,或直接提供在线服务;

处理可能导致在安全漏洞发生身体伤害风险的个人数据。

☐如果有变更对我们处理的性质,范围,背景或目的发生变化,我们执行新的DPIA。

如果我们决定不执行DPIA,我们记录了我们的原因。

DPIA过程清单

我们描述了处理的性质,范围,背景和目的。

我们要求我们的数据处理器帮助我们了解并记录其处理活动并确定任何相关的风险。

我们考虑如何最好地咨询个人(或其代表)和其他相关利益攸关方。

我们要求提供数据保护官的建议。

☐我们检查处理是必要的,以与我们的目的成比例,并描述我们如何确保遵守数据保护原则

我们做了一个客观评估对个人权利和利益的任何风险的可能性和严重程度。

我们确定我们可以解决的措施,以消除或减少高风险。

☐我们在DPIA的结果中记录我们的决策,包括与我们的DPO或个人咨询的任何意见差异。

我们实施我们所确定的措施,并将其整合到我们的项目计划中。

我们在处理之前咨询ICO,如果我们无法减轻高风险。

我们保留我们的DPIAS正在审查并在必要时重新审视它们。

我们写了一个好DPIA吗?

一个好的DPIA可以帮助你证明:

  • 您已考虑与您预期处理相关的风险;和
  • 您已达到更广泛的数据保护义务。

此清单将有助于确保您已经写了一个良好的DPIA。

我们有:

☐确认DPIA是对GDPR预处理或涵盖预期处理的审查,包括任何一种情况的时间表;

☐解释为什么我们需要DPIA,详细说明所需的预期处理的类型;

☐明确,系统地和逻辑地结构的文档;

☐用简单的英语写下DPIA,考虑到非专业的观众,解释我们使用的任何技术条款和首字母缩略词;

☐清楚地列出了控制器,处理器,数据主题和系统之间的关系,使用适当的文本和数据流程图;

☐已明确解释和呈现人,系统,组织和国家之间任何个人数据流的具体细节;

☐明确说明我们如何遵守GDPR下的每个数据保护原则,并明确解释了我们的合法基础(如果相关,特别类别条件);

☐解释我们如何计划支持我们数据科目的相关信息;

☐确定个人权利和自由的所有相关风险,评估其可能性和严重程度,并详细说明所有相关的缓解;

☐充分解释任何提议的缓解如何降低所确定的危险;

☐证明了我们对实现同样的处理目的的任何危险替代方案,以及为什么我们没有选择它们;

☐鉴于利益相关者咨询(例如数据主体,代表机构)的详细信息,并包括调查结果摘要;

☐附上我们参考我们的DPIA的任何相关额外文件,例如,我们参考。隐私声明,同意文件;

☐记录我们DPO的建议和建议(相关)并确保DPIA由适当的人员签署;

☐同意并记录定期审查DPIA的时间表,或者当我们改变加工的性质,范围,背景或目的时;

☐如果有残留的高风险,请咨询ICO,我们无法减轻

简单来说

什么是DPIA?

DPIA是一种方法,可以系统地,全面分析处理,并帮助您识别并最大限度地减少数据保护风险。

DPIAS应考虑合规风险,但对个人的权利和自由的风险更广泛,包括任何重要的社会或经济劣势的潜力。无论是物理,材料还是非物质,重点都是危害的危害或社会的潜力。

为了评估风险程度,DPIA必须考虑可能对个人产生任何影响的影响。

DPIA不必表明所有风险都已被删除。但它应该帮助您记录它们并评估是否有任何剩余的风险是合理的。

DPIA是对可能具有高风险的处理的法律要求。但是,有效的DPIA还可以带来更广泛的合规性,财务和声誉福利,帮助您展示责任和建立对个人的信任和参与。

DPIA可以涵盖单个处理操作或一组类似的处理操作。一群控制人员可以进行联合DPIA。

重要的是要将DPIAS嵌入您的组织流程并确保结果会影响您的计划。DPIA不是一次性运动。您应该将其视为常规审查的持续进程。

我们什么时候需要DPIA?

在开始任何类型的处理之前,您必须执行DPIA,这些处理“可能导致高风险”。这意味着虽然您尚未评估实际风险水平,但您需要筛选指出对个人普遍或严重影响的可能性的因素。

特别是,英国GDPR说,如果您计划的话,您必须执行DPIA:

  • 使用系统和广泛的分析,具有显着效果;
  • 处理大规模的特殊类别或刑事犯罪数据;或者
  • 系统地监控大规模的公开可访问的地方。

考虑到您的处理可能导致风险高,您应该考虑相关的欧洲指南。这些限定了可能导致高风险的处理操作标准。虽然指南表明,在大多数情况下,涉及两个或多个这些标准的任何处理操作都需要DPIA,您可以考虑在您的情况下,只是满足一个标准可能需要DPIA。

ICO还要求您进行DPIA,如果您计划:

  • 使用创新技术(与欧洲指南的任何标准组合);
  • 使用分析或特殊类别数据来决定访问服务;
  • 大规模的个人资料;
  • 处理生物识别数据(与欧洲指南的任何标准组合);
  • 处理遗传数据(与欧洲指南的任何标准组合);
  • 匹配数据或组合不同来源的数据集;
  • 从个人以外的来源收集个人数据,而不为他们提供隐私声明('看不见处理')(与欧洲指南的任何标准组合);
  • 跟踪个人的位置或行为(与欧洲指南的任何标准组合);
  • 概况儿童或目标营销或在线服务;或者
  • 在安全违规事件中,可能危及个人身体健康或安全的过程数据。

您还应该仔细考虑DPIA进行大规模的任何其他处理,涉及分析或监控,决定访问服务或机会,或涉及敏感数据或弱势群体。

即使没有具体的迹象表明可能的高风险,也是良好的做法,为涉及使用个人数据的任何主要新项目做DPIA。您可以使用或调整清单帮助您进行此筛选练习。

我们如何执行DPIA?

在开始处理之前,DPIA应该在项目的生命中开始,并与规划和开发过程一起运行。它应包括以下步骤:

您必须寻求数据保护官的建议(如果您有一个)。在整个过程中,您还应咨询个人和其他利益相关者。

该过程设计为灵活且可扩展。您可以使用或调整我们的样本DPIA模板,或创造自己的。如果您想创建自己的,您可能希望参考欧洲指南可接受的DPIA的标准

虽然出版DPIA不是英国GDPR的要求,但您应该积极考虑出版物的好处。除了展示合规性,出版物可以帮助培训信任和信心。因此,我们建议您在可能的情况下发布DPIAS,如有必要,请删除敏感细节。

我们需要咨询ico吗?

您不需要向ICO发送每个DPIA,我们预计向我们发送的百分比将很小。但如果您的DPIA确定高风险,您必须咨询ICO,并且您无法采取措施降低这一风险。在您咨询我们之前,您无法开始处理。

如果您希望您的项目能够有效地进行,那么投资时间在制作全面的DPIA时可能会阻止任何延迟,如果您必须咨询ICO。

你需要发送给我们你的DPIA副本。

一旦我们提供了我们所需要的信息,我们通常会在八周内进行回应(尽管我们可以在复杂案件中进一步延长六周)。

我们将为您提供书面回复,建议您是否可以接受风险,或者是否需要采取进一步行动。在某些情况下,我们可能会建议您不要进行处理,因为我们认为这将违反GDPR。在适当的情况下,我们可能会发出正式的警告或采取行动,以完全禁止处理。

更详细地 - ICO指导

我们发表了更详细的DPIA指导

更详细地 - 欧洲数据保护委员会

WP29生产数据保护影响评估指南,这已被EDPB认可。

其他相关指南包括:

数据保护官员指南('DPOS')(WP243)

关于196/679(WP251)的自动化个人决策和分析的准则(WP251)