导图社区 DPIA流程和模板

DPIA流程和模板

这是一篇关于DPIA流程和模板的思维导图，主要内容包括：DPIA模版，DPIA概述和范围，如何执行DPIA，可接受的DPIA标准，DPIA解决什么问题，DPIA执行标准。

编辑于2024-12-10 16:53:15

DPIA
流程和模板
数据保护影响评估

宇尘

他的近期作品查看更多>>

DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图，主要内容包括：DPIA模版，DPIA概述和范围，如何执行DPIA，可接受的DPIA标准，DPIA解决什么问题，DPIA执行标准。
GDPR全文和解析
本文翻译了GDPR并且添加了解析，深入剖析GDPR的各个方面，可以更好地理解这一法规的重要性，并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
信息安全技术、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术、数据安全能力成熟度模型Informatio的思维导图，主要内容包括：附录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法，附录 B (资料性附录) 能力成熟度等级评估参考方法，DSMM架构，附录 A(资料性附录) 能力成熟度等级描述与 GP，DSMM-数据安全过程维度，DSMM-安全能力维度。

DPIA流程和模板

社区模板帮助中心，点此进入>>

宇尘

他的近期作品查看更多>>

相似推荐
大纲

论语孔子简单思维导图
- 51.8k
- 760
- 228
MindMaster
《傅雷家书》思维导图
- 102.7k
- 2.4k
- 1.0k
MindMaster
《童年》读书笔记
- 39.5k
- 905
- 311
MindMaster
《茶馆》思维导图
- 9.4k
- 176
- 38
MindMaster
《朝花夕拾》篇目思维导图
- 20.9k
- 1.1k
- 272
MindMaster
《昆虫记》思维导图
- 26.4k
- 731
- 252
MindMaster
《安徒生童话》思维导图
- 14.4k
- 240
- 64
MindMaster
《鲁滨逊漂流记》读书笔记
- 17.6k
- 521
- 158
MindMaster
《这样读书就够了》读书笔记
- 88.5k
- 8.6k
- 2.1k
Ethan
妈妈必读：一张0-1岁孩子认知发展的精确时间表
- 6.9k
- 367
- 53
Ethan

DPIA流程和模板

DPIA概述和范围

DPIA是一个过程，旨在描述处理过程，评估其必要性和相称性，并通过评估和确定解决措施来帮助管理个人数据处理对自然人权利和自由造成的风险。DPIA是问责的重要工具，因为它们不仅帮助控制者遵守GDPR的要求，还可以证明已采取适当措施确保遵守该条例（另见第24条）。换句话说，DPIA是一个建立和证明合规性的过程。

范围

（a）对设想的加工操作和加工目的的系统描述，包括在适用的情况下，控制者追求的合法利益；

（b）评估与目的相关的处理操作的必要性和相称性；

（c）对第1款所述数据主体权利和自由风险的评估；和

（d）为应对风险而设想的措施，包括保障措施、安全措施和机制，以确保个人数据得到保护，并在考虑到数据主体和其他有关人员的权利和合法利益的情况下证明遵守本条例”；

- Recital 84对其含义和作用进行了如下澄清：“为了在处理操作可能对自然人的权利和自由造成高风险的情况下加强对本条例的遵守，控制者应负责进行数据保护影响评估，特别是评估该风险的来源、性质、特殊性和严重性”

DPIA解决什么问题

DPIA可能涉及单个数据处理操作。然而，第35条第（1）款规定，“一次评估可以解决一系列具有类似高风险的类似处理操作”。事实陈述92补充说，“在某些情况下，数据保护影响评估的主题比单个项目更广泛可能是合理和经济的，例如，公共当局或机构打算建立一个共同的应用程序或处理平台，或者几个控制者计划在整个行业或部门或广泛使用的横向活动中引入共同的应用或处理环境”。

单个DPIA可用于评估在性质、范围、上下文、目的和风险方面相似的多个处理操作。事实上，DPIA旨在系统地研究可能导致自然人权利和自由面临高风险的情况，对于已经研究过的案件（即在特定背景下为特定目的进行的处理操作），没有必要进行DPIA。这可能是使用类似技术为相同目的收集相同类型数据的情况。例如，一组CCTV，每个都单独建立一个类似的闭路电视系统，可以执行一个DPIA，涵盖这些单独的控制器的处理，或者铁路运营商（单个控制者）可以用一个DPIA覆盖其所有火车站的视频监控。这也可能适用于由各种数据控制器实现的类似处理操作。在这些情况下，应共享或公开参考DPIA，必须实施DPIA中描述的措施，并提供进行单一DPIA的理由。

当处理操作涉及联合控制者时，他们需要精确地定义各自的义务。他们的DPIA应规定哪一方负责各种措施旨在处理风险并保护数据主体的权利和自由。每个数据控制者都应该表达自己的需求，分享有用的信息，同时不泄露机密（例如：保护商业机密、知识产权、机密商业信息）或披露漏洞。

DPIA也可用于评估技术产品（例如硬件或软件）的数据保护影响，其中这可能被不同的数据控制器用于执行不同的处理操作。当然，部署产品的数据控制器仍然有义务就具体实施执行自己的DPIA，但如果合适的话，可以由产品提供商准备的DPIA通知。一个例子可能是智能电表制造商和公用事业公司之间的关系。每个产品提供商或处理器都应该共享有用的信息，既不泄露机密，也不因披露漏洞而导致安全风险。

DPIA执行标准

标准

GDPR不要求对可能导致自然人权利和自由风险的每一项处理操作都进行DPIA。只有在处理“可能对自然人的权利和自由造成高风险”的情况下，才必须执行DPIA（第35（1）条，第35（3）条对此进行了说明，并由第35（4）条补充）。当引入新的数据处理技术时，这一点尤为重要。

可能导致高风险的处理操作标准

评估或评分，包括分析和预测，特别是从“与数据主体在工作中的表现、经济状况、健康、个人偏好或兴趣、可靠性或行为、位置或动作有关的方面”（Recital71和91）。这方面的例子可能包括根据信用参考数据库或反洗钱和反恐融资（AML/CTF）或欺诈数据库对客户进行筛查的金融机构，或直接向消费者提供基因检测以评估和预测疾病/健康风险的生物技术公司，或根据其网站上的使用或导航建立行为或营销档案的公司。

具有法律或类似重大影响的自动决策：旨在就数据主体作出决定的处理，产生“与自然人有关的法律影响”或“对自然人产生类似重大影响”（第35条第（3）款（a）项）。例如，处理可能会导致对个人的排斥或歧视。对个人影响很小或没有影响的处理不符合这一特定标准。关于这些概念的进一步解释将在即将发布的WP29分析指南中提供。

系统监测：用于观察、监测或控制数据主体的处理，包括通过网络或“对公共可访问区域的系统监测”收集的数据（第35条第（3）款（c）项）。这种类型的监控是一种标准，因为在数据主体可能不知道谁在收集他们的数据以及如何使用这些数据的情况下，可能会收集个人数据。此外，个人可能无法避免在公共（或可公开访问的）空间中受到此类处理。

敏感数据或高度个人性质的数据：这包括第9条定义的特殊类别的个人数据（例如关于个人政治观点的信息），以及与第10条定义的刑事定罪或犯罪有关的个人数据。一个例子是，一家综合医院保存患者的医疗记录，或者一名私家侦探保存罪犯的详细信息。除GDPR的这些规定外，某些类别的数据可能会增加权利和自由的风险

大规模处理的数据：GDPR没有定义什么是大规模，尽管Recital91提供了一些指导。无论如何，WP29建议在确定是否大规模进行处理时，特别考虑以下因素： 1 相关数据主体的数量，无论是特定数量还是相关人群的比例； 2 正在处理的数据量和/或不同数据项的范围； 3 数据处理活动的持续时间或持久性； 4 加工活动的地理范围。

匹配或组合数据集，例如源于出于不同目的和/或由不同数据控制者以超出数据主体合理预期的方式执行的两个或多个数据处理操作。

易受攻击的数据主体的数据（Recital75）：由于数据主体和数据控制者之间的权力不平衡加剧，处理这类数据是一个标准，这意味着个人可能无法轻易同意或反对对其数据的处理，或行使其权利。易受攻击的数据主体可能包括儿童（他们可能被认为无法故意和深思熟虑地反对或同意对其数据的处理）、员工、需要特殊保护的弱势群体（精神病患者、寻求庇护者或老年人、患者等），在任何情况下，都可以确定数据主体和控制者之间的关系不平衡。

创新使用或应用新的技术或组织解决方案，如结合使用指纹和面部识别来改善物理访问控制等。《通用数据保护条例》明确规定（第35条第（1）款和序言89和91），根据“已实现的技术知识状态”（序言91）定义的新技术的使用可能会引发执行DPIA的需要。这是因为使用此类技术可能涉及新形式的数据收集和使用，可能对个人的权利和自由构成高风险。事实上，部署新技术的个人和社会后果可能是未知的。DPIA将帮助数据控制者了解和处理此类风险。例如，某些“物联网”应用程序可能会对个人的日常生活和隐私产生重大影响；因此需要DPIA。

当处理本身“阻止数据主体行使权利或使用服务或合同”时（第22条和Recital91）。这包括旨在允许、修改或拒绝数据主体访问服务或签订合同的处理操作。一个例子是，银行根据信用参考数据库筛选客户，以决定是否向他们提供贷款。

举例说明了如何使用标准来评估特定处理操作是否需要DPIA：

不需要进行DPIA的操作

- 处理过程“不太可能对自然人的权利和自由造成高风险”（第35条第（1）款）； - 当处理的性质、范围、上下文和目的与执行DPIA的处理非常相似时。在这种情况下，可以使用类似处理的DPIA结果（第35（1）19条）； - 在2018年5月之前，监管机构在特定条件下检查了处理操作，但没有改变20（见III.C）； - 根据第6（1）条第（c）或（e）点，处理操作在欧盟或成员国法律中具有法律依据，法律对具体处理操作进行了规范，并且作为建立该法律依据的一部分已经进行了DPIA（第35（10）条）21，除非成员国已声明有必要在处理活动之前进行DPIA； - 其中，该处理被列入（由监管机构制定的）无需DPIA的处理操作的可选列表中（第35（5）条）。此类清单可能包含符合该机构规定条件的处理活动，特别是通过指导方针、具体决定或授权、合规规则等。（例如，在法国，授权、豁免、简化规则、合规包……）。在这种情况下，根据主管监管机构的重新评估，不需要DPIA，但前提是处理严格属于清单中提到的相关程序的范围，并且继续完全符合GDPR的所有相关要求。

注意

在处理操作22导致的风险发生变化后，可能需要DPIA，例如因为新技术已经投入使用，或者因为个人数据被用于不同的目的。数据处理操作可能会迅速发展，并可能出现新的漏洞。因此，应该指出的是，DPIA的修订不仅有助于持续改进，而且对于在不断变化的环境中保持数据保护水平至关重要。DPIA也可能变得必要，因为处理活动的组织或社会背景已经发生了变化，例如，某些自动化决策的影响变得更加显著，或者新类别的数据主体容易受到歧视。这些示例中的每一个都可能是导致相关处理活动导致的风险变化的因素。

相反，某些变化也可能降低风险。例如，处理操作可能会发生变化，导致决策不再自动化，或者监控活动不再系统化。在这种情况下，对风险分析的审查可以表明，不再需要DPIA的性能。

作为一项良好做法，应不断审查和定期重新评估DPIA。因此，控制者也有必要在适当的时候进行DPIA，作为其一般问责义务的一部分。

如何执行DPIA

什么时候应该进行DPIA？在处理之前。

一旦处理实际开始，DPIA可能需要更新的事实并不是推迟或不执行DPIA的有效理由。DPIA是一个持续的过程，特别是在处理操作是动态的并且不断变化的情况下。实施DPIA是一个持续的过程，而不是一次性的练习。

谁有义务执行DPIA？控制者，DPO和处理者

控制者负责确保DPIA得到执行（第35（2）条）。DPIA的执行可能由组织内外的其他人完成，但控制者最终仍对该任务负责。

控制者还必须寻求指定的数据保护官（DPO）的建议（第35（2）条），并且该建议以及控制者做出的决定应记录在DPIA中。DPO还应监督DPIA的绩效（第39（1）（c）条）。WP29数据保护官指南16/EN WP 243提供了进一步的指导。

如果处理完全或部分由数据处理者执行，则处理者应协助控制者执行DPIA，并提供任何必要的信息（根据第28条第（3）款（f）项）。

控制者必须“在适当的情况下”“征求数据主体或其代表的意见”（第35条第（9）款）。WP29认为： - 根据具体情况，可以通过各种方式征求这些意见（例如，与处理操作的目的和方式相关的通用研究、向员工代表提出的问题或向数据控制者的未来客户发送的常规调查），确保控制者有合法依据处理征求此类意见所涉及的任何个人数据。虽然应该指出的是，同意处理显然不是征求数据主体意见的一种方式； - 如果数据控制者的最终决定与数据主体的观点不同，则应记录其继续或不继续的原因； - 控制者还应记录其不征求数据主体意见的理由，如果它认为这样做不合适，例如这样做会损害公司商业计划的保密性，或者不相称或不切实际。

实施DPIA的方法是什么？不同的方法，但共同的标准。

可接受的DPIA标准

WP29提出了以下标准，数据控制者可以使用这些标准来评估DPIA或执行DPIA的方法是否足够全面，以符合GDPR：  提供了对处理的系统描述（第35（7）（a）条）： nature, scope, context and purposes of the processing are taken into account (recital 90);  考虑到处理的性质、范围、背景和目的（事实陈述90）； personal data, recipients and period for which the personal data will be stored are recorded;  记录个人数据、收件人和个人数据的存储期限； a functional description of the processing operation is provided;  提供处理操作的功能描述； the assets on which personal data rely (hardware, software, networks, people, paper or paper transmission channels) are identified;  识别个人数据所依赖的资产（硬件、软件、网络、人员、纸张或纸张传输渠道）； compliance with approved codes of conduct is taken into account (Article 35(8));  考虑遵守批准的行为准则（第35（8）条）； necessity and proportionality are assessed (Article 35(7)(b)):  对必要性和相称性进行评估（第35条第（7）款（b）项）： measures envisaged to comply with the Regulation are determined (Article 35(7)(d) and recital 90), taking into account:  考虑到以下因素，确定了为遵守该条例而设想的措施（第35（7）（d）条和序言90）： measures contributing to the proportionality and the necessity of the processing on the basis of:  有助于相称性和处理必要性的措施，基于： specified, explicit and legitimate purpose(s) (Article 5(1)(b));  具体、明确和合法的目的（第5条第（1）款（b）项）； lawfulness of processing (Article 6);  处理的合法性（第6条）； adequate, relevant and limited to what is necessary data (Article 5(1)(c));  充分、相关且仅限于必要的数据（第5条第（1）款（c）项）； limited storage duration (Article 5(1)(e));  有限的储存期限（第5（1）（e）条）； measures contributing to the rights of the data subjects:  有助于数据主体权利的措施： information provided to the data subject (Articles 12, 13 and 14);  向数据主体提供的信息（第12、13和14条）； right of access and to data portability (Articles 15 and 20);  访问权和数据可移植性（第15条和第20条）； right to rectification and to erasure (Articles 16, 17 and 19);  更正和删除的权利（第16、17和19条）； right to object and to restriction of processing (Article 18, 19 and 21);  反对和限制处理的权利（第18、19和21条）； relationships with processors (Article 28);  与加工商的关系（第28条）； safeguards surrounding international transfer(s) (Chapter V);  围绕国际转让的保障措施（第五章）； prior consultation (Article 36).  事先协商（第36条）。 risks to the rights and freedoms of data subjects are managed (Article 35(7)(c)):  管理数据主体权利和自由的风险（第35（7）（c）条）： origin, nature, particularity and severity of the risks are appreciated (cf. recital 84) or, more specifically, for each risk (illegitimate access, undesired modification, and disappearance of data) from the perspective of the data subjects:  从数据主体的角度了解风险的起源、性质、特殊性和严重性（参见事实陈述84），或者更具体地说，了解每种风险（非法访问、不期望的修改和数据丢失）： risks sources are taken into account (recital 90);  考虑风险源（事实陈述90）； potential impacts to the rights and freedoms of data subjects are identified in case of events including illegitimate access, undesired modification and disappearance of data;  在发生非法访问、不希望的修改和数据丢失等事件的情况下，确定对数据主体权利和自由的潜在影响； threats that could lead to illegitimate access, undesired modification and disappearance of data are identified;  识别可能导致非法访问、意外修改和数据丢失的威胁； likelihood and severity are estimated (recital 90);  估计可能性和严重性（事实陈述90）； measures envisaged to treat those risks are determined (Article 35(7)(d) and recital 90);  确定了为应对这些风险而设想的措施（第35条第（7）款（d）项和事实陈述90）； interested parties are involved:  涉及利益相关方： the advice of the DPO is sought (Article 35(2));  征求DPO的意见（第35（2）条）； the views of data subjects or their representatives are sought, where appropriate (Article 35(9)).  在适当的情况下，征求数据主体或其代表的意见（第35（9）条）。

DPIA模版