Measúnaithe Tionchair ar Chosaint Sonraí

D’Eagraíochtaí

Is féidir Measúnuithe Tionchair ar Chosaint Sonraí a úsáid chun rioscaí a bhaineann le cosaint sonraí a eascraíonn as tionscadal nua a aithint agus a mhaolú, a d'fhéadfadh impleachtaí a bheith ann do d'eagraíocht nó do na daoine aonair a bhfuil baint aici leo. Léigh an treoir seo chun tuilleadh eolais a fháil maidir le conas agus cathain DPIA a dhéanamh.

Príomhphointí

  • Faoin GDPR, beidh DPIA éigeantach i gcás aon tionscadail phróiseála ardriosca nua.
  • Cabhróidh an próiseas DPIA leat cinntí eolasacha a dhéanamh faoi inghlacthacht maidir le rioscaí cosanta sonraí, agus cumarsáid a dhéanamh go héifeachtach leis na daoine a bhfuil tionchar acu orthu.
  • Ní féidir gach riosca a chosc, ach is féidir le DPIA cabhrú leat rioscaí cosanta sonraí a aithint agus iad a mhaolú, pleanáil a dhéanamh chun aon réitigh ar na rioscaí sin a chur i bhfeidhm agus measúnú a dhéanamh ar inmharthanacht tionscadail go luath sa phróiseas.
  • Mura ndéanann DPIA cosaintí maolaithe i gcoinne rioscaí arda iarmharacha, ní mór dul i gcomhairle leis an gCoimisinéir Cosanta Sonraí.
  • Cabhróidh dea-choimeád taifead i rith an phróisis DPIA leat comhlíonadh GDPR a léiriú agus déanfaidh sé an baol go gcruthóidh tionscadal nua deacrachtaí dlíthiúla a íoslaghdú.

Clár

Cad is Measúnú Tionchair ar Chosaint Sonraí ann?

Nuair a bhailíonn d'eagraíocht sonraí pearsanta, tá rioscaí ann do na daoine aonair a bhfuil a sonraí á mbailiú agus á bpróiseáil agat. Tá raon rioscaí i gceist ó shonraí pearsanta a bheith goidte nó scaoilte go neamhfhreagrach agus go mbeidh coirpigh á n-úsáid chun pearsanú a dhéanamh ar an duine aonair, go himní a chruthú i ndaoine aonair go n-úsáidfidh an eagraíocht a gcuid sonraí chun críocha anaithnide. Is cur síos é Measúnú Tionchair ar Chosaint Sonraí (DPIA) ar phróiseas atá ceaptha chun rioscaí a eascraíonn as próiseáil sonraí pearsanta a aithint agus na rioscaí sin a mhaolú chomh fada agus is féidir chomh luath agus is féidir. Is uirlisí tábhachtacha iad DPIAanna chun riosca a mhaolú, agus chun comhlíonadh GDPR a léiriú.

Glactar leis sa doiciméad seo go ndéanfar DPIA do thionscadal sainithe, seachas d'oibríochtaí na heagraíochta ina n-iomláine. D'fhéadfaí breathnú ar fheidhm áirithe d'eagraíochta, nó ar chlár athruithe ar oibríochtaí na heagraíochta ina n-iomláine, mar thionscadal.

Cad iad na buntáistí maidir le DPIA a dhéanamh?

Cabhróidh DPIA le feasacht i d’eagraíocht ar na rioscaí cosanta sonraí a bhaineann le tionscadal a fheabhsú. Cabhróidh sé seo le dearadh do thionscadail a fheabhsú agus cuirfidh sé le do chumarsáid le páirtithe leasmhara ábhartha maidir le rioscaí príobháideachta sonraí a fheabhsú. Seo a leanas cuid de na buntáistí a bhaineann DPIA a dhéanamh:

  • Comhlíonadh d'eagraíocht le GDPR a chinntiú agus smachtbhannaí a sheachaint.
  • Muinín a spreagadh sa phobal trí chumarsáid maidir le saincheisteanna cosanta sonraí a fheabhsú.
  • A chinntiú nach bhfuil na daoine i mbaol a gcearta cosanta sonraí a bheith sáraithe.
  • Cuireann sé ar chumas d’eagraíochta "Cosaint Sonraí Incheaptha" a ionchorprú i dtionscadail nua.
  • Costais oibríochta a laghdú trí bharr feabhais a chur ar shreabhaí faisnéise laistigh de thionscadal agus trí bhailiú agus trí phróiseáil sonraí gan ghá a chosc.
  • Rioscaí cosanta sonraí a bhaineann le do d'eagraíocht a laghdú.
  • An costas agus an cur isteach a bhaineann le cosaintí um chosaint sonraí a laghdú trína chomhtháthú ag céim luath i ndearadh tionscadail.

Ciallaíonn Cosaint Sonraí incheaptha gnéithe a bhaineann le príobháideacht sonraí agus teicneolaíochtaí breisithe príobháideachta sonraí a shuiteáil go díreach ag céim luath i ndearadh tionscadal. Cabhróidh sé seo le cosaint níos fearr agus níos éifeachtúla do phríobháideacht sonraí aonair ó thaobh costais de a chinntiú.

Ciallaíonn Cosaint Sonraí Réamhshocruithe go gcaithfidh réamhshocruithe a bheith oiriúnach go huathoibríoch do chosaint sonraí.Cé go bhfuil sé seo molta mar dhea-chleachtas le fada, tá an dá phrionsabal sin cumhdaithe sa dlí faoin GDPR (Airteagal 25).

Cén chaoi a bhfuil a fhios agam go gcaithfear DPIA a dhéanamh?

Faoin GDPR, tá DPIA éigeantach nuair “is dócha go mbeidh riosca ard ann do chearta agus saoirsí daoine nádúrtha” mar thoradh ar phróiseáil sonraí. Tá sé seo ábhartha go háirithe nuair a bhíonn teicneolaíocht nua próiseála sonraí á thabhairt isteach. I gcásanna nach bhfuil sé soiléir an bhfuil DPIA éigeantach go docht, is dea-chleachtas fós é DPIA a dhéanamh agus is uirlis úsáideach é chun cabhrú le rialtóirí sonraí an dlí um chosaint sonraí a chomhlíonadh.

Tá roinnt samplaí neamhchuimsitheacha sa GDPR de “nuair is dócha go mbainfidh rioscaí ard le próiseáil sonraí":

  • “meastóireacht chórasach, chuimsitheach a bheith á déanamh ar na gnéithe pearsanta a bhaineann le daoine nádúrtha, ar measúnú é atá bunaithe ar phróiseáil uathoibrithe lena n-áirítear próifíliú, agus a mbeidh cinntí á mbunú air a mbeidh éifeachtaí dlíthiúla acu do dhuine nádúrtha nó a mbeidh éifeachtaí suntasacha comhchosúla acu ar an duine nádúrtha”
  • “próiseáil mhórscála ar chatagóirí speisialta de shonraí pearsanta dá dtagraítear in Airteagal 9(1), nó ar shonraí pearsanta a bhaineann le ciontuithe coiriúla agus cionta dá dtagraítear in Airteagal 10
  • “faireachán córasach mórscála ar limistéir atá inrochtana don phobal”

D'fhoilsigh Meitheal Oibre Airteagal 29, atá comhdhéanta d'ionadaithe ó gach údarás um chosaint sonraí san AE, treoirlínte maidir le DPIAanna agus cibé an dóigh go mbeidh baol ann do riosca ard chun críocha an GDPR mar thoradh ar phróiseáil. Bhí na treoirlínte faoi réir comhairliúcháin phoiblí le déanaí agus táthar ag súil le go nglacfar leis an téacs deiridh ag an gcéad chruinniú eile den Mheitheal Oibre. Tá na treoirlínte ar fáil ag http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083. Agus measúnú á dhéanamh ar cibé an dóigh go mbeidh riosca ard ag baint leis an bpróiseáil, tá na critéir seo a leanas leagtha amach ag Meitheal Airteagal 29 chun iad a mheas:

  1. Measúnú nó scóráil, lena n-áirítear anailís nó tuar a dhéanamh “go háirithe ar ghnéithe a bhaineann le feidhmíocht an ábhair sonraí ag an obair, le staid eacnamaíochta, le sláinte, le roghanna pearsanta nó le díol spéise, le hiontaofacht nó iompar an duine sin, leis an áit ina bhfuil an duine sin nó le gluaiseachtaí an duine sin(Aithrisí 71 agus 91). Ina samplaí air seo tá banc a dhéanann a chustaiméirí a scagthástail i gcomparáid le bonneachar tagartha creidmheasa nó cuideachta bith-theicneolaíohta a ofrálann tástálacha géiniteacha do thomhaltóirí chun rioscaí galair/sláinte a thuar, nó cuideachta a thógann próifílí iompraíochta nó margaíochta bunaithe ar úsáid nó nascleanúint a láithreáin ghréasáin.
  2. Cinnteoireacht uathoibrithe a mbeidh éifeacht dhlíthiúil nó éifeacht shuntasach comhchosúil ag baint léi: próiseáil a bhfuil sé mar aidhm aici cinntí maidir le hábhair sonraí a mbeidh “éifeachtaí dlíthiúla acu do dhuine nádúrtha”“a mbeidh éifeachtaí suntasacha comhchosúla acu ar an duine nádúrtha” (Airteagal 35 (3)(a)). Mar shampla d’fhéadfadh go ndéanfaí duine a eisiamh nó go mbeadh leithcheal déanta ar an duine mar thoradh ar phróiseáil. Ní bhaineann an critéar sonrach seo le próiseáil ar beag a héifeacht nó nach bhfuil éifeacht aici ar dhaoine aonair.
  3. Monatóireacht chórasach: próiseáil a úsáidtear í chun monatóireacht a dhéanamh ar ábhair sonraí nó chun iad a bhrath nó a rialú, lena n-áirítear sonraí a bhailítear trí fhaireachán córasach mórscála ar limistéir atá inrochtana don phobal(Airteagal 35 (3)(c)). Tá an cineál monatóireachta ina critéar ós rud é go bhféadfaí sonraí pearsanta a bheith bailithe in imthosca nach mbeidh ábhair sonraí ar an eolas faoi cé atá ag bailiú an eolais agus conas a úsáidfear iad.. Chomh maith leis sin d’fhéadfaí go mbeadh sé do dhéanta do dhaoine aonair gan a bheith faoi réir a leithead de phróiseáil in áiteanna coitianta poiblí (nó a bhfuil rochtain ag an bpobal orthu).
  4. Sonraí íogair: áirítear leis seo catagóirí speisialta sonraí mar a shainmhínítear in Airteagal 9 (mar shampla faisnéis faoi thuairimí polaitiúla daoine aonair), chomh maith le sonraí pearsanta a bhaineann le ciontuithe coiriúla nó le cionta. Mar shamplaí air seo ná ospidéal ginearálta a choimeád taifead míochaine othar nó imscrúdaitheoir príobháideach ag coimeád sonraí ciontóirí.Cuimsíonn an critéar seo sonraí freisin a d’fhéadfaí a mheas go ginearálta mar riosca méadaithe do chearta agus do shaoirsí daoine aonair, mar shampla sonraí cumarsáide leictreonacha, sonraí suímh, sonraí airgeadais (a d'fhéadfaí a úsáid le haghaidh calaoise íocaíochta. Maidir leis seo, d’fhéadfaí an fhaisnéis a bheith ar fáil go poiblí cheana féin an fhaisnéis a mheas mar fhachtóir sa mheasúnacht más rud é go rabhthas ag súil le go n-úsáidfí na sonraí chun críocha áirithe. D'fhéadfadh go gcuimseodh an critéar seo faisnéis atá á próiseáil ag duine nádúrtha le linn gníomhaíocht phearsanta nó tí amháin (mar shampla seirbhísí ríomhaireachta scamall le haghaidh doiciméid phearsanta a bhainistiú, seirbhísí ríomhphoist, dialanna, léitheoirí leictreonacha atá feistithe le gnéithe breactha nótaí, agus feidhmchláir logála saoil éagsúla a d’fhéadfadh faisnéis an-phearsanta a bheith orthu), a bhféadfar a nochtadh nó a phóiseáil chun críche ar bith eile seachas gníomhaíochtaí teaghlaigh a mheas mar an-ionsáiteach
  5. Sonraí próiseáilte ar mhórscála: níl mórscála sainmhínithe ag GDPR cé go bhfuil roinnt treorach tugtha in aithris 9. Pé scéal é molann WP29 go ndéanfaí na fachtóirí seo a leanas, go háirithe, a mheas nuair a chinntear an ndéantar próiseáil ar scála mór:

1. Líon na n-ábhar sonraí lena mbaineann, mar uimhir shonrach nó mar chéatadán den daonra ábhartha
2. Méíd na sonraí agus/nó raon na níthe sonraí éagsúla atá á bpróiseáil
3. Fad, nó buaine, na gníomhaíochta próiseála sonraí
4. Fairsingegeografach na gníomhaíochta próiseála

  1. Tacair sonraí maitseáilte nó comhcheangailte, mar shampla tacair a eascraíonn as dhá oibríocht próiseála sonraí nó níos mó a dhéantar chun críocha éagsúla agus/nó ag rialaitheoirí sonraí éagsúla ar bhealach a sháródh ionchais réasúnta an ábhair sonraí.
  2. Sonraí a bhaineann le hábhair sonraí leochaileacha (aithris 75): féadfaidh go mbeadh DPIA ag teastáil do phróiseáil sonraí den chineál seo mar gheall ar an éagothroime chumhachta méadaithe idir an ábhar sonraí agus an rialtóir sonraí, rud a chiallaíonn nach féidir leis an duine aonair toiliú a thabhairt nó agóid a dhéanamh i gcoinne phróiseáil a chuid sonraí. Mar shampla, bheadh sé an-deacair go minic d’fhostaithe dul i gcoinne phróiseáil a bhfostóirí, nuair atá sé nasctha le bainistiú acmhainní daonna. Ar an gcaoi chéanna, ní féidir le leanaí toiliú a thabhairt do phróiseáil a sonraí nó agóid a dhéanamh go feasach ina coinne. Baineann sé seo freisin le grúpaí den daonra atá níos leochailí agus a theastaíonn cosaint speisialta uathu, mar shampla, daoine a bhfuil tinneas meabhrach orthu, iarrthóirí tearmainn, daoine scothaosta, othair, nó aon chás ina bhfuil éagothroime sa chaidreamh idir an ábhar sonraí agus an rialtóir aitheanta.
  3. Úsáid nuálach nó réitigh theicneolaíochta nó eagrúcháin a chur i bhfeidhm, mar shampla lorg méara agus aghaidh-aithint a úsáid chun rialú rochtana fisiceach níos fearr a chur i bhfeidhm, srl. Tá sé luaite go soiléir sa GDPR (Airteagal 35 (1) agus aithrisí 89 agus 91) gur féidir le húsáid teicneolaíochta nua a bheith ina cúis le gá DPIA a dhéanamh ós rud é go bhféadfadh go mbeadh foirmeacha nuálacha bailiúcháin agus úsáid sonraí i gceist le húsáid teicneolaíochta nua agus go mbeadh riosca ard ann do chearta agus do shaoirsí daoine aonair. Go deimhin, d’fhéadfaí nach fios cad iad na hiarmhairtí pearsanta agus sóisialta a bhaineann le húsáid na teicneolaíochta nua. Cabhróidh DPIA leis an rialtóir sonraí na rioscaí sin a thuiscint agus conas déileáil leo. Mar shampla d’fhéadfadh go mbeadh impleachtaí móra ag cuir i bhfeidhm áirithe “Idirlíon na Rudaí Nithiúla”do shaol laethúil agus do phríobháideacht daoine aonair; agus mar sin bheadh DPIA ag teastáil.
  4. Aistriú sonraí pearsanta thar theorainneacha lasmuigh den Aontas Eorpach(aithris 116), ag cur san áireamh, i measc rudaí eile, an tír nó na tíortha ceann scríbe atá beartaithe, an dóchúlacht go ndéanfaí breis aistrithe, nó an dóchúlacht go dtarlóidh aistrithe, bunaithe ar mhaoluithe i gcásanna sonracha arna leagan amach ag an GDPR.
  5. Nuair a chuireann an phróiseáil féin “bac ar ábhair sonraí maidir le ceart a fheidhmiú nó le seirbhís nó conradh a úsáid” (Airteagal 22 agus aithris 91). Áirítear leis seo próiseálacha a dhéantar in áit phoiblí nach féidir le daoine a théann thart í a sheachaint nó próiseálacha a bhfuil sé mar aidhm acu rochtain ar sheirbhísí sonraí ar sheirbhís nó dul i gconradh a cheadú, a mhodhnú nó a athúsáid. Mar shampla, nuair a scagann banc a chustaiméirí i gcoinne bunachar sonraí tagartha creidmheasa chun cinneadh a dhéanamh ar iasacht a thairiscint dóibh.

Measann an Mheitheal Oibre gur dócha go mbeidh riosca níos airde ann do chearta agus do shaoirsí ábhar sonraí agus dá bhrí sin go mbeidh gá ann le DPIA de réir mar a gcomhlíonann próiseáil níos mó critéar. Mar threoir ghinearálta seans nach mbeidh ga le DPIA má bhíonn níos lú ná dhá cheann de na critéir seo i gceist mar gheall ar an riosca íseal agus go mbeidh DPIA ag teastáil má bhíonn dhá cheann de na critéir seo ar a laghad i gceist. Má mheasann an rialtóir nach dócha go mbainfidh riosca ard le hoibriúchán próiseála lena mbaineann dhá cheann ar a laghad de na critéir seo, ba chóir don rialtóir taifead iomlán a choinneáil ar na fáthanna nach gá tabhairt faoi DPIA.

Cathain nach gá DPIA a dhéanamh?

De ghnáth ní gá DPIA a dhéanamh sna cásanna seo a leanas:

  • Nuair nach dócha go mbeadh ardriosca ag gabháil leo maidir le cearta agus le saoirsí daoine nádúrthamar gheall ar an bpróiseáil (airteagal 35(1))
  • Nuair atá cineál, raon feidhme, chomhthéacs agus chríocha na próiseála sonraían-chosúil le próiseáil a bhfuil DPIA déanta orthu cheana féin. Sna cásanna seo, is féidir torthaí DPIA do phróiseáil atá cosúil leis an bpróiseáil seo a úsáid (Airteagal 35(1))
  • I gcás ina bhfuil bunús dlí ag an bpróiseáil i ndlí an Aontais nó i ndlí Ballstáit ina luaitear nach bhfuil gá le DPIA tosaigh, agus go rialaíonn an dlí sin an oibríocht próiseála shonrach, agus ina bhfuil DPIA, de réir chaighdeáin GDPR déanta cheana mar chuid de bhunú an bhunúis dlí sin, (Airteagal 35(10))
  • I gcás ina n-áirítear an phróiseáil ar an liosta roghnach na n-oibríochtaí próiseála (arna bhunú ag an údarás maoirseachta)nach bhfuil aon DPIA ag teastáil uathu (Airteagal 35 (5)). D'fhéadfadh n-aireofaí i liosta den sórt sin gníomhaíochtaí próiseála a chomhlíonann na coinníollacha sonraithe údarás seo, go háirithe trí threoirlínte, trí chinntí nó trí údaruithe sonracha, rialacha comhlíonta, srl. I gcásanna den sórt sin, agus faoi réir athbhreithniú ag an údarás maoirseachta inniúil, níl DPIA ag teastáil ach amháin más rud é go dtagann an phróiseáil go docht laistigh de raon feidhme an nós imeachta ábhartha atá luaite sa liosta agus leanann sí ag comhlíonadh na gceanglas ábhartha ina n-iomláine.

An bhfuil DPIA éigeantach maidir le hoibríochtaí próiseála atá ann cheana féin, sula dtiocfaidh an GDPR i bhfeidhm ar an 25 Bealtaine 2018?

Tá an GDPR i bhfeidhm ón 25 Bealtaine 2018, agus níl DPIAanna éigeantach go dlíthiúil ach amháin maidir le hoibríochtaí próiseála atá thionscnaithe tar éis an dáta seo. Mar sin féin, molann Meitheal Airteagal 29 go láidir go ndéanfaí DPIAanna maidir le gach oibríocht ardriosca roimh an dáta seo. Go deimhin, is féidir le DPIA a bheith ina uirlis chumhachtach lena chinntiú nach bhfágfaidh aon oibríocht a thosaítear anois i mbaol neamhchomhlíonta tú nuair a athraíonn an dlí ar an 25 Bealtaine 2018, agus cosnóidh sé d'eagraíocht ó chur isteach oibriúcháin trína ligean duit tionscadail nua a dhéanamh seasmhach i leith na todhchaí ó thaobh an GDPR de go luath sa tionscadal.

Ina theannta sin, d'fhéadfadh sé go mbeadh gá le DPIAanna nua nó le hathbhreithnithe ar DPIAanna do phróiseáil atá ann cheana a thosaigh roimh an 25 Bealtaine 2018 tar éis an dáta sin sna himthosca seo a leanas:

  • Nuair a thagann athrú suntasach ar an oibríocht próiseála tar éis don GDPR teacht i bhfeidhm. Mar shampla, nuair a thagann teicneolaíocht nua i bhfeidhm, nó nuair a bhíonn sonraí á n-úsáid chun críche difriúil. Sna cásanna seo is oibríocht nua í an phróiseáil agus d'fhéadfadh go mbeadh DPIA ag teastáil.
  • Nuair a thagann athrú ar an riosca a eascraíonn ón bpróiseáil. Féadfaidh na rioscaí agus an leibhéal riosca a athrú mar thoradh ar athrú ar cheann de chomhpháirteanna na hoibríochta próiseála (sonraí, sócmhainní tacaíochta, foinsí riosca, etc.), nó toisc go n-athríonn comhthéacs na próiseála (cuspóir, feidhmiúlachtaí, srl.). Is féidir le córais phróiseála sonraí athrú le himeacht ama, agus is féidir le bagairtí agus leochaileachtaí nua teacht chun cinn
  • Tá comhthéacs eagrúcháin nó sochaíoch na gníomhaíochta próiseála athruithe, mar shampla, mar gheall ar thorthaí cinntí uathoibrithe áirithe a bheith níos suntasaí, aimsítear catagóirí nua daoine nádúrtha atá leochaileach ó thaobh idirdhealú de nó tá sé beartuithe sonraí a aistriú chuig faighteoirí sonraí atá lonnaithe i dtír a d'fhág an AE.

Mar ábhar dea-chleachtais, molann Meitheal Oibre Airteagal 29 go ndéanfaí gach DPIA a ath-mheasúnú tar éis 3 bliana, nó níos luaithe má athraíonn cúinsí go tapa.

Cathain le linn saolré thionscadail ar cheart DPIA a dhéanamh?

Ba cheart DPIA a dhéanamh “sula ndéanfar an phróiseáil” (GDPR Airteagail 35(1) agus 35(10), aithrisí 90 agus 93). De ghnáth is dea-chleachtas é DPIA a dhéanamh chomh luath agus is praiticiúil i ndearadh an oibriúcháin phróiseála. D'fhéadfadh sé nach bhféadfaí DPIA a dhéanamh ag tús an tionscadail, mar ní mór spriocanna tionscadail agus roinnt tuiscint ar an gcaoi a n-oibreoidh an tionscadal a aithint sula mbeidh sé indéanta na rioscaí cosanta sonraí atá i gceist a mheas.

I gcás roinnt tionscadal b'fhéidir go mbeadh gá le DPIA a bheith ina phróiseas leanúnach, agus déanfar é a nuashonrú de réir mar a théann an tionscadal ar aghaidh. Ní cúis mhaith DPIA a chur ar athló ná gan DPIA a dhéanamh an fhéidearthacht go mbeadh ort DPIA a thabhairt cothrom le dáta nuair a bheadh an phróiseáil tosaithe.

Cé ba cheart a bheith i mbun DPIA?

Tá an Rialaitheoir Sonraí freagrach as a chinntiú go ndéantar an DPIA. Féadfar é a tharmligean chuig duine eile, laistigh den eagraíocht nó lasmuigh den eagraíocht, ach is é an Rialaitheoir Sonraí atá freagrach ar deireadh thiar thall.

Ba cheart go mbeadh an DPIA stiúrtha ag daoine a bhfuil an saineolas agus an t-eolas cuí acu ar an tionscadal atá i gceist, de ghnáth foireann an tionscadail. Mura bhfuil saineolas agus taithí leordhóthanach ag d'eagraíocht, nó más dócha go mbeidh ardleibhéal riosca i gceist nó go mbeidh tionchar ar líon mór daoine ag tionscadal áirithe, féadfaidh tú smaoineamh ar speisialtóirí seachtracha a thabhairt chun dul i gcomhairle leo nó chun an DPIA a chur i gcrích.

D’fhéadfadh próiseas comhairliúcháin leathan inmheánach a bheith ina bhuntáiste don DPIA, toisc go nach mbeidh ach daoine aonair atá ag obair ar ghnéithe sonracha den tionscadal eolach ar roinnt rioscaí cosanta sonraí. Tabharfaidh sé deis duit aiseolas a fháil ó dhaoine a mbeidh tionchar ag an tionscadal ar a gcuid oibre tar éis a chur i bhfeidhm, mar shampla innealtóirí, dearthóirí agus forbróirí, a mbeidh eolas praiticiúil acu ar na hoibríochtaí. Cuirfidh rannpháirteacht fhoireann Chaidrimh Phoiblí na heagraíochtaí le do chumas na torthaí DPIA a chur in iúl go héifeachtach le páirtithe leasmhara seachtracha.

Faoin GDPR (Airteagal 35), is gá d’aon Rialaitheoir Sonraí a bhfuil Oifigeach Cosanta Sonraí ainmnithe (DPO) comhairle a lorg ón DPO. Ba cheart an chomhairle seo agus na cinntí a rinneadh a dhoiciméadú mar chuid den phróiseas DPIA. Má tá Próiseálaí Sonraí páirteach sa phróiseáil,

  • Is duine ainmnithe é an tOifigeach Cosanta Sonraí (DPO) ceaptha ag eagraíocht chun comhairle a thabhairt maidir le cleachtais cosanta sonraí laistigh den eagraíocht. Is féidir leis an DPO bheith ina bhall foirne nó bheith mar sholáthraí seirbhíse seachtrach. Faoin GDPR, tá ceapachán DPO éigeantach sna himthosca seo a leanas:
  • Tá an phróiseáil á déanamh ag comhlacht poiblí, ach amháin cúirteanna ag gníomhú faoina gcumas breithiúnach;
  • Is é atá i bpríomhghníomhaíochtaí an rialaitheora oibríochtaí próiseála lena gceanglaítear, de bhua chineál, raon feidhme agus/nó chuspóirí na n-oibríochtaí, go ndéantar faireachán rialta agus córasach mórscála ar na hábhair sonraí;
  • is é atá i bpríomhghníomhaíochtaí an rialaitheora nó an phróiseálaí próiseáil mhórscála ar chatagóirí speisialta sonraí pearsanta de bhun Airteagal 9 agus ar shonraí a bhaineann le ciontuithe coiriúla agus cionta dá dtagraítear in Airteagal 10 den GDPR.
  • Ba cheart don phróiseálaí sonraí cabhrú leis an DPIA agus aon eolas riachtanach a sholáthar.

Tá ceanglas ar an Rialaitheoir Sonraí tuairimí ábhair sonraí nó ar a n-ionadaithe a lorgi gcás inarb iomchuí (Airteagal 35(9)) agus é i mbun DPIA.I roinnt cásanna, b'fhéidir gurb iad daoine laistigh den eagraíocht na hábhair sonraí. Trí thuairimí na nÁbhar Sonraí a lorg, beidh an Rialaitheoir Sonraí in ann na hábhair imní dóibh siúd a bhféadfadh impleachtaí a bheith dóibh a thuiscint, agus trédhearcacht a fheabhsú trí dhaoine aonair a chur ar an eolas faoin gcaoi a n-úsáidfear a gcuid eolais..

Is féidir tuairimí na n-ábhar sonraí a lorg trí bhealaí éagsúla, ag brath ar an gcomhthéacs. D'fhéadfaí dul i gcomhairle leis an bhfoireann trí cheardchumann; d'fhéadfaí dul i gcomhairle le custaiméirí trí shuirbhé. Má tá difríocht idir cinneadh deireanach an Rialaitheora Sonraí agus tuairimí na nÁbhar Sonraí, ba cheart na cúiseanna a thaifeadadh mar chuid den DPIA. Mura mbraitheann an Rialaitheoir Sonraí go bhfuil sé oiriúnach tuairimí na nÁbhar Sonraí a lorg, ba cheart an chúis a dhoiciméadú.

Cad iad na céimeanna maidir le DPIA?

Tá na gnéithe íosta de DPIA leagtha amach sa GDPR (Airteagal 35 (7), agus aithrisí 84 agus 90):

  • “tuairisc ar na hoibríochtaí próiseála atá beartaithe agus críocha na próiseála”
  • “measúnú ar riachtanas agus comhréireacht na n-oibríochtaí próiseála”
  • “measúnú ar na rioscaí do chearta agus saoirsí na n-ábhar sonraí”
  • “na bearta a cheaptar a dhéanamh:
    • “chun aghaidh a thabhairt ar na rioscaí”;
    • “chun a thaispeáint go bhfuil an Rialachán seo á chomhlíonadh”.

Cuireann an GDPR creat leathan cineálach ar fáil chun DPIA a dhearadh agus a chur i gcrích. Ligeann sé seo d’inscálaitheacht, mar sin is féidir leis an Rialaitheoir Sonraí is lú DPIA a dhearadh agus a chur i bhfeidhm; chomh maith le solúbthacht, mar sin is féidir leis an Rialaitheoir Sonraí struchtúr beacht agus foirm an DPIA a chinneadh, agus é a bheith oiriúnach do na cleachtais oibre reatha atá i bhfeidhm

Príomhghnéithe DPIA rathúil

Ní fhorordaíonn an GDPR an próiseas ceart chun DPIA a dhéanamh seachas na gnéithe íosta atá leagtha amach thuas, rud a fhágann go mbeidh solúbthacht agus inscálaitheacht i gceist ag teacht le riachtanais na heagraíochta. Cé nach bhfuil aon chur chuige forordaithe ar bith le déanamh, is féidir na céimeanna seo a leanas tú a threorú tríd an bpróiseas:

  1. Aithin an bhfuil DPIA ag teastáil
  2. Déan saintréithe an tionscadail a shainaithint chun measúnú a dhéanamh ar na rioscaí a éascú
  3. Déan rioscaí cosaint sonraí agus rioscaí gaolmhara a aithint
  4. Déan réitigh chosanta sonraí a aithint chun na rioscaí a laghdú nó iad mhaolú
  5. Cuir d’ainm le torthaí an DPIA
  6. Déan réitigh chosanta sonraí a chomhtháthú leis an tionscadal.

1. Aithin an bhfuil DPIA ag teastáil

Is féidir leat na céimeanna a thuairiscítear sa mhír thuasluaite a úsáid "Cén chaoi a bhfuil a fhios agam go gcaithfear DPIA a dhéanamh?" chun measúnú a dhéanamh an bhfuil gá duit DPIA a dhéanamh. Ba chóir é seo a dhéanamh chomh luath agus is féidir i saolré an tionscadail. Ní mór duit freisin na hacmhainní atá ag teastáil, na daoine a mbeidh baint acu leis, agus fráma ama an phróisis DPIA a shainaithint.

Ós rud é go bhféadfadh cineál an tionscadail agus na himpleachtaí oibriúcháin maidir le príobháideacht sonraí tionscadail a bheith míshoiléir go luath sa phleanáil, d'fhéadfadh go mbeadh gá le DPIA a bheith ina phróiseas leanúnach, agus d'fhéadfadh go gcaithfí é a athbhreithniú nó a athdhéanamh arís agus arís eile mar a théann an tionscadal ar aghaidh.

2. Cur síos a dhéanamh ar an sreabhadh eolais

Go luath i dtionscadal DPIA, ba cheart duit conas atá sé beartaithe faisnéis phearsanta a bhailiú, a stóráil, a úsáid agus a scriosadh a aithint mar chuid den tionscadal. Ba cheart go n-aithneofá freisin tríd an gcleachtadh seo cén cineál faisnéise a úsáidfear mar chuid den tionscadal agus cé a bheidh rochtain acu ar an bhfaisnéis.

Is í aidhm na céime seo tuiscint luath a fháil ar an gcaoi a n-úsáidfear faisnéis mar chuid de thionscadal ag gach céim ar feadh an phróisis. Tá sé seo ríthábhachtach chun go mbeidh tú in ann na rioscaí príobháideachta sonraí a d'fhéadfadh a bheith ag tionscadal a aithint agus chun na bealaí a d'fhéadfaí a úsáid chun na rioscaí sin a mhaolú a aithint.

Ba cheart duit smaoineamh an gcruthóidh an tionscadal aon fhaisnéis phearsanta nua, agus é a chur san áireamh i do thaifead ar an gcéim seo. Mar shampla, d'fhéadfadh tionscadal a bhaineann le próiseáil tástálacha sícíméadracha cineál amháin faisnéise pearsanta a thógáil (na freagraí ar cheisteanna tástála sícíméadracha) agus í a phróiseáil go cineál eile (próifíl shícíméadrach). Tá an cineál nua faisnéise pearsanta seo difriúil ó thaobh cineál de, agus mar sin chabhródh sé leat a chinntiú go bhfuil a saintréithe speisialta curtha san áireamh níos déanaí sa phróiseas DPIA má choinníonn tú taifead ar leithligh di i léarscáil do shreabhaidh faisnéise.

Beidh an chuid seo den DPIA go minic mar an gcéanna le gnéithe eile de do phróiseas deartha tionscadail, cosúil le cleachtadh scóipe ginearálta chun conas a thabharfar faoin tionscadal a aithint, agus is féidir é a chomhtháthú le cleachtadh scóipe den sórt sin. Féadfaidh tairbhí éifeachtúlachta a bheith ann do d'eagraíocht freisin trí chúnamh a thabhairt duit próisis láimhseála faisnéise a chuíchóiriú má thugtar aird ar an dóigh a n-úsáidfear faisnéis mar chuid den tionscadal agus tú ag dearadh an tionscadail.

Ag an gcéim seo den phróiseas DPIA, ba cheart duit dul i gcomhairle le páirtithe leasmhara inmheánacha d'fhonn na gnéithe teicniúla a bhaineann le bailiú faisnéise, le stóráil agus le próiseáil a aithint, agus an chaoi a n-oirfeadh gnéithe éagsúla an tionscadail le chéile nuair a chuirfear i bhfeidhm iad. B'fhéidir gur mhaith leat dul i gcomhairle le comhpháirtithe seachtracha, a d'fhéadfadh a bheith fostaithe ag d'eagraíocht mar phróiseálaithe sonraí, nó a bhféadfaí faisnéis a nochtadh dóibh mar chuid de thionscadal.

Ba cheart an cleachtadh seo a dhoiciméadú ag úsáid cibé bealach is oiriúnaí do d'eagraíocht agus don tionscadal atá i gceist. Is féidir áiseanna amhairc a úsáid, mar shampla sreabhchairteacha, chun taifead a dhéanamh ar an gcaoi a n-úsáidfear faisnéis mar chuid de thionscadal chun cabhrú le rioscaí príobháideachta sonraí féideartha a aithint. D'fhéadfadh sé seo cabhrú le cumarsáid inmheánach freisin trí thuiscint níos fearr ar dhearadh an tionscadail a thabhairt don fhoireann tionscadail agus do dhaoine eile i d’eagraíocht.

3. Rioscaí cosanta sonraí agus rioscaí gaolmhara a aithint

Is éard atá sa chéim seo ná dearadh an tionscadail a scrúdú chun measúnú a dhéanamh ar na saincheisteanna cosanta sonraí a thiocfaidh chun cinn sa tionscadal, agus aon rioscaí a d'fhéadfadh a bheith ann do dhaoine aonair a aithint, chomh maith le haon riosca cosanta sonraí a d'fhéadfadh an tionscadal a chruthú d'eagraíocht.

Tá raon bealaí éagsúla ann gur féidir tionscadal nua príobháideacht sonraí duine aonair a chur i mbaol nó a shárú. I measc na gcineálacha riosca tá an baol go mbeidh an tionscadal ina chúis anacra, suaite nó míchaothúileachta nó ina chúis chaillteanais airgeadais nó dochair fhisicigh. Tá an oiread cineálacha rioscaí ann freisin a bhaineann le príobháideacht sonraí d'eagraíochtaí, a bhaineann le saincheisteanna comhlíonta agus le fachtóirí tráchtála. Féadfaidh pionóis shuntasacha a bheith mar thoradh ar sháruithe GDPR, mar shampla próiseáil sonraí iomarcach nó sáruithe sonraí, chomh maith le damáiste clú do d’eagraíocht

Ba cheart go gcuirfeadh an chéim seo leis an obair a rinneadh ag céimeanna roimhe seo den DPIA. Ba cheart go mbeadh na freagraí ar na critéir atá leagtha amach sa mhí thuas " Cén chaoi a bhfuil a fhios agam go gcaithfear DPIA a dhéanamh?" ina treoir maidir na rioscaí a d'fhéadfadh a bheith ann. Féadfaidh an léarscáil ar shreafaí faisnéise a cruthaíodh i gcéim 2 cabhrú leat laigí ar leith a shainaithint, áit a bhféadfadh baol mór a bheith ann do rioscaí ginearálta príobháideachta sonraí, nó a d'fhéadfadh rioscaí ar leith a bheith ann.

Maidir le comhlachtaí san earnáil phoiblí atá ag smaoineamh ar bhearta próiseála sonraí a chur i bhfeidhm a chuirfidh srian le ceart bunúsach an AE ar chosaint sonraí faoi Airteagal 8 de Chairt um Chearta Bunúsacha an AE , ní mór anailís mhionsonraithe ar 'riachtanas' an bhirt a dhéanamh. Cabhróidh treoir a d'fhoilsigh an Maoirseoir Eorpach um Chosaint Sonraí le lucht déanta beartas na hearnála poiblí an anailís riachtanach a dhéanamh. Tá treoir an EDPS ar fáil ag

https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en_0.pdf

Tá samplaí de na cineálacha rioscaí ar chóir duit a bheith ar an airdeall ag an gcéim seo den phróiseas DPIA leagtha amach thíos. Ba cheart duit freisin treoir a bhaineann le hearnálacha ar leith agus a d'fhéadfadh rialtóirí nó grúpaí tionscail a sholáthar i do cheantar oibríochtaí a léamh, mar is féidir leo béim a leagan ar chineálacha riosca a d'fhéadfadh a bheith ábhartha do d'eagraíocht nó dod’ thionscadal.

Ba cheart duit méid na rioscaí atá aitheanta a thabhairt faoi deara, agus an dóchúlacht go dtarlódh riosca féin agus a thionchar a chur san áireamh. Agus measúnú á dhéanamh agat ar dhéine an riosca, tá sé tábhachtach cuimhneamh ar íogaireacht na sonraí pearsanta a bheidh á bpróiseáil mar chuid den tionscadal, ar líon na ndaoine is dóigh go mbeidh tionchar ag aon cheann de na rioscaí a aithníodh orthu, agus conas a d'fhéadfadh impleachtaí a bheith ann dóibh.

Ba cheart duit taifead a choimeád ar na rioscaí go léir a aithníodh ag an gcéim seo. Cabhróidh sé seo níos déanaí sa phróiseas DPIA réitigh a chruthú chun na rioscaí sin a sheachaint nó iad a laghdú. Féadfaidh coinneáil taifead a bheith thar a ríthábhachtach i gcás imscrúdaithe nó iniúchta ag an CCS. D'fhéadfadh sé go gcabhródh dea-thaifeadadh le léiriú a dhéanamh ar an gcaoi a chomhlíonann d'eagraíocht a cuid ceanglas faoin GDPR.

Ba cheart tabhairt faoin gcleachtadh aitheantais seo go réasúnta luath i ndearadh an tionscadail, mar a luaithe agus is féidir na rioscaí príobháideachta sonraí a shainaithint, beidh sé níos éasca agus níos saoire iad a mhaolú. Mar sin féin, ní cleachtadh aon uaire a bhíonn i gceist; ba chóir duit an dearadh tionscadail a athbhreithniú faoi phróiseas an DPIA chun monatóireacht a dhéanamh ar aon rioscaí nua a d’fhéadfadh teacht chun cinn, de bharr athrú ar dhearadh nó ar raon feidhme an tionscadail, agus chun cuidiú le measúnú a dhéanamh ar cibé teicnící laghdaithe rioscaí.

Is féidir le d'eagraíocht an modh bainistíochta riosca is fearr a oireann do phróiseas bainistíochta tionscadail reatha d’eagríochta. Is féidir na huirlisí céanna a úsáideann tú chun rioscaí rialála nó tráchtála eile a aithint mar chuid de do phróiseas bainistíochta tionscadail a úsáid chun na rioscaí cosanta sonraí a bhaineann le tionscadal a mheas. Is é an phríomhphointe ná a chinntiú go nglactar le cur chuige modheolaíoch maidir le rioscaí a aithint, agus go gcoimeádtar taifid den phróiseas seo agus de na rioscaí a aithníodh.B'fhéidir gur mhaith le d'eagraíocht clár riosca cosanta sonraí a choinneáil chun cur síos a dhéanamh ar na rioscaí a bhaineann le tionscadal agus measúnú a dhéanamh ar a dóchúlacht agus ar a dtionchar. Is féidir leat filleadh ar an gclár ansin i gcás aon athruithe ar an tionscadal, agus aon bheart a dhéantar chun riosca a mhaolú, nó aon rioscaí breise a thagann chun cinn a nótáil ann. Is féidir é seo a chomhtháthú i gclár riosca atá ann cheana féin má tá aon cheann ann don tionscadal. Féadfaidh tú cur chuige réasúnta neamhfhoirmiúil maidir le rioscaí a úsáid maidir le tionscadail ar scála beag. Is féidir leat clár riosca cosanta sonraí a úsáid i gcásanna den sórt sin, ach le hiontrálacha a léiríonn an cur chuige neamhfhoirmiúil seo.

Is máistirchóip é clár riosca Cosanta Sonraí a úsáidtear chun faisnéis faoi rioscaí cosanta sonraí a aithint a aithníodh maidir le tionscadal áirithe a thaifeadadh, chomh maith le hanailís ar thromchúiseacht rioscaí agus meastóireacht ar na réitigh a d'fhéadfaí a chur i bhfeidhm.

Ba cheart an clár riosca cosanta sonraí a nuashonrú de réir mar a théann an tionscadal chun cinn, chun aon réitigh nó rioscaí nua a aithníodh a léiriú.

Rioscaí Samplacha do Dhaoine Aonair

  • Nochtadh míchuí ar shonraí pearsanta go hinmheánach laistigh d'eagraíocht mar gheall ar easpa rialuithe cuí atá i bhfeidhm.
  • D'fhéadfadh nochtadh faisnéise pearsanta do thríú páirtithe tarlú mar thoradh ar chaillteanas trealaimh leictreonaigh trí thimpiste ag duine ón eagraíocht.
  • Sárú ar shonraí leictreonacha de bharr “haiceálaithe”.
  • D'fhéadfadh go mbeadh tionchar mór ag nochtadh míchuí sonraí pearsanta do dhaoine aonair atá leochaileach nó daoine aonair faoina gcoimeádtar sonraí íogaire.
  • D'fhéadfadh faisnéis phearsanta a scaoileadh i bhfoirm anaithnidithe a bheith nochtaithe má tharlaíonn sé go raibh na teicnící anaithnidithe a roghnaíodh mí-éifeachtach.
  • Sonraí pearsanta á n-úsáid ar bhealach nach raibh ábhair sonraí ag súil leis mar gheall ar éabhlóid i nádúr an tionscadail.
  • Sonraí pearsanta á n-úsáid ar bhealach nach raibh ábhair sonraí ag súil leis mar gheall ar theip míniú eifeachteach a thabhairt ar conas a úsáidfí a sonraí.
  • Is féidir go bhfaighfear go bhfuil sonraí pearsanta atá á n-úsáid le haghaidh cinnteoireacht uathoibrithe róchúngrach.
  • D’fhéadfadh go mbeadh níos mó faisnéise ag rialaitheoir sonraí faoi dhaoine aonair ná mar a bhí siad ag súil leis mar gheall ar thacair sonraí a chomhtháthú.
  • D’fhéadfaí daoine a aithint trí thimpiste ó shonraí anaithnidithe de bharr tacair sonraí a chomhtháthú.
  • D'fhéadfaí úsáid teicneolaíochta atá chun taifeadtaí amhairc nó fuaime a dhéanamh a bheith róchúngrach.
  • Féadfaidh bailiú sonraí ina bhfuil aitheantóirí ann bac a chur ar úsáideoirí seirbhís a úsáid go hanaithnid.
  • Féadfar sonraí a choinneáil níos faide ná mar is gá mura bhfuil beartais chuí i bhfeidhm.
  • Féadfar sonraí nach gá don tionscadal a bhailiú mura bhfuil beartais chuí i bhfeidhm, agus rioscaí gan ghá mar thoradh air.
  • Féadfar sonraí a aistriú chuig tíortha nach bhfuil córais chosanta sonraí leordhóthanacha i bhfeidhm acu

Rioscaí Corparáideacha

  • D'fhéadfadh go n-eascródh imscrúdú, fíneálacha riaracháin, ionchúiseamh nó smachtbhannaí eile as gan cloí leis an GDPR. Mura ndéantar DPIA leormhaith a dhéanamh nuair is iomchuí, is féidir leis sin a bheith ina shárú ar an GDPR.
  • D’fhéadfadh sáruithe sonraí nó mainneachtain ionchais an chustaiméara a chomhlíonadh maidir le príobháideacht agus sonraí pearsanta riosca a chruthú do cháil na heagraíochta.
  • D'fhéadfadh sé go mbeadh drogall ar dhaoine aonair déileáil le d'eagraíocht mar gheall ar easpa muiníne i measc an phobail maidir le húsáid faisnéise pearsanta san eagraíocht.
  • D'fhéadfadh fadhbanna dearadh tionscadail a aithnítear go déanach sa phróiseas deartha, nó i ndiaidh dó a bheith críochnaithe, a bheith costasach agus deacair le cur i gceart.
  • D’fhéadfadh dúbláil mhí-éifeachtach, nó bailiúchán costasach agus stóráil a bheith i gceist duit má theipeann ort an bealach ina bhailíonn agus a choinníonn do chuideachta faisnéis neamhriachtanach a bhainistiú. Is féidir próiseáil agus coinneáil neamhriachtanach faisnéise an chuideachta a fhágáil i mbaol neamhchomhlíonta maidir leis an GDPR freisin.
  • • D'fhéadfadh go mbeadh éileamh ar chúiteamh i gcoinne d'eagraíochta mar thoradh ar aon dochar a dhéanfaí do dhaoine aonair mar gheall ar mhí-úsáid sonraí pearsanta. Faoin GDPR d'fhéadfá a bheith faoi dhliteanas i leith díobháil neamhábhartha freisin.

Rioscaí Comhlíonta

D'fhéadfadh rioscaí ionchúisimh, pionós airgeadais suntasach, nó damáiste clú a bheith ann do d'eagraíocht má theipeann ort cloí leis an GDPR. Is féidir le daoine aonair a mbíonn tionchar ag sárú an GDPR orthu cúiteamh a lorg maidir le damáiste ábhartha agus neamhábhartha araon.

Is sárú ar an reachtaíocht féin é mura ndéantar DPIA a chur i gcrích nuair is iomchuí, chomh maith le deis chaillte chun rioscaí comhlíonta maidir le tionscadal nua amach anseo a aithint agus iad a mhaolú.

4. Réitigh Chosanta Sonraí a aithint agus a mheas

Leanann an chéim seo ar aghaidh ó chéim 3, rioscaí cosanta sonraí a aithint, d'fhonn an riosca príobháideachtasonraí a bhaineann leis an tionscadal a íoslaghdú, a mhéid agus is féidir. I mbeagnach gach cás, ní bheidh sé indéanta rioscaí cosanta sonraí a sheachaint ina n-iomláine, ach is í is aidhm don chéim seo na rioscaí sin a mheá i gcoinne aidhmeanna an tionscadail, lena chinntiú go bhfuil aon riosca a nglactar leo comhréireach le torthaí an tionscadail. Mar sin féin, faoi GDPR, má tá rioscaí ard fós ann, is ansin a chaithfidh tú dul i gcomhairle leis an gCoimisinéir Cosanta Sonraí, mar atá mínithe thíos.

Is éard atá i réitigh chosanta sonraí ná bearta a fhéadfar a dhéanamh chun dóchúlacht nó déine na rioscaí príobháideachta sonraí a laghdú.

Le linn na céime seo, ba cheart duit iarracht "réitigh chosanta sonraí" a aithint chun tionchar an tionscadail ar chosaint sonraí a laghdú. Ba cheart duit é seo a dhéanamh trí bhreathnú ar gach ceann de na rioscaí a shainaithnítear mar chuid den chéim roimhe seo sa phróiseas DPIA agus iarracht a dhéanamh aghaidh a thabhairt air ina n-aonar, nó mar chuid de réiteach príobháideachta a d'fhéadfadh dul i ngleic ar roinnt rioscaí le chéile.

I roinnt cásanna, d'fhéadfadh go mbeadh réitigh cosanta sonraí in ann roinnt cineálacha riosca a chosc, mar shampla trí scaoileadh le codanna den tionscadal nach bhfuil gá leo agus a chruthaíonn rioscaí ar leith. I gcásanna eile, féadfaidh réitigh chosanta sonraí an riosca a mhaolú nó suntas sáruithe sonraí a laghdú, mar shampla trí bhréagainmniú chun an baol a aithint ar ábhair sonraí a aithint.

Braitheann cineál na réiteach seo ar na cineálacha riosca a aithníodh, agus ar aidhmeanna an tionscadail. Ba cheart duit taifead iomlán a choinneáil ar an bpróiseas, chun aon réitigh cosanta sonraí a aithníodh a thaifeadadh, agus na rioscaí a raibh sé i gceist agat tabhairt faoi, chomh maith le haon rioscaí ar glacadh leo. Is féidir é sin a dhéanamh i gclár rioscaí cosanta sonraí mar a cruthaíodh faoi chéim 3.

Is éard a bhaineann leis an gcéim seo ná cleachtadh meáite a dhéanamh idir na buntáistí do dhaoine aonair agus buntáistí don eagraíocht ón tionscadal, agus na rioscaí cosanta sonraí agus na rioscaí gaolmhara do na daoine sin agus don eagraíocht. Ar an gcaoi chéanna, agus measúnú á dhéanamh ar cheart réiteach áirithe ar chosaint sonraí a chur i bhfeidhm, ní mór costas agus sochair gach réiteach a mheá.Mar shampla, féadfaidh sonraí anaithidithe cuidiú le riosca sonraí a bhaineann le duine inaitheanta a bheith nochta trí thimpiste go tríú páirtí a chosc, ach is dócha go gcosnóidh sé airgead don eagraíocht chun córas anaithnidithe a chur i bhfeidhm, agus d'fhéadfadh sé go gcuirfeadh sé cosc ar chuid de spriocanna an tionscadail a bhaint amach (má bhrathann na spriocanna sin ar fhaisnéis faoi dhaoine aonair inaitheanta a phróiseáil).

Beidh a chúinsí agus a phróifíl riosca féin ag gach tionscadal, agus mar sin níl aon réiteach amháin a oirfidh do gach réiteach príobháideachta sonraí. Mar sin féin, is samplaí de réitigh chosanta sonraí iad seo a leanas, agus féadfar roinnt acu a chur i bhfeidhm i gcásanna éagsúla:

  • Cinneadh a dhéanamh gan cineálacha áirithe faisnéise a bhailiú ná iad a stóráil.
  • Tréimhsí dochta choinneála a chur i bhfeidhm agus iad ceaptha chun tréimhse choinneála sonraí pearsanta a íoslaghdú.
  • Athbhreithniú a dhéanamh ar shlándáil fhisiciuil agus/nó TF i d’eagraíocht nó foireann tionscadail áirithe agus feabhsuithe cuí a chur i bhfeidhm nuair is gá.
  • Oiliúint ghinearálta nó tionscadal-sonrach a chur ar fáil chun a chinntiú go ndéileálfar le sonraí pearsanta go daingean.
  • Prótacail a chruthú maidir le láimhseáil faisnéise laistigh den tionscadal, agus a chinntiú go bhfuil an fhoireann ábhartha ar fad oilte chun obair faoin bprótacal.
  • Treoir a thabhairt don fhoireann mar phointe tagartha i gcás aon neamhchinnteachta a bhaineann le láimhseáil faisnéise.
  • Measúnú a dhéanamh ar an ngá atá le córas TF nua chun na sonraí a phróiseáil agus a stóráil go sábháilte, agus oiliúint a sholáthar don fhoireann ar aon chóras nua a chuirfear isteach
  • Measúnú a dhéanamh ar iniomparthacht sonraí anaithnidithe nó bréagainmnithe a úsáid mar chuid den tionscadal chun rioscaí inaitheantais a laghdú, agus prótacal cuí anaithnidithe a fhorbairt má tá úsáid sonraí anaithnidithe oiriúnach.
  • A chinntiú go bhfuil daoine aonair go hiomlán ar an eolas maidir le conas a úsáidfear a gcuid faisnéise.
  • Pointe teagmhála a chur ar fáil do dhaoine aonair chun aon imní a d'fhéadfadh a bheith acu maidir le d'eagraíocht a ardú.
  • Má úsáideann tú próiseálaithe sonraí seachtracha, próiseálaithe cuí a bhfuil taithí acu a roghnú agus socruithe dlí a chur i bhfeidhm chun comhlíonadh na reachtaíochta um chosaint sonraí a chinntiú.
  • Cinneadh a dhéanamh gan leanúint le gné áirithe de thionscadal má bhíonn na rioscaí príobháideachta sonraí a bhaineann leis seo dosheachanta agus nach fiú na buntáistí a bhfuiltear ag súil leo ón gcuid seo den tionscadal na rioscaí sin a ghlacadh.

I bhformhór na gcásanna, tá roinnt rioscaí cosanta sonraí ann nach féidir iad a chosc nó a laghdú. Is féidir glacadh leis na rioscaí seo má tá siad comhréireach leis na torthaí a bhainfear amach trí dhul ar aghaidh leis an tionscadal in ainneoin an riosca. Ba cheart aon chinntí chun glacadh le rioscaí cosanta sonraí a thaifeadadh sa chlár riosca cosanta sonraí, nó ar shlí eile de réir do phróisis bhainistíochta tionscadail.

Ag an gcéim seo, ba cheart duit a chinntiú freisin go mbeidh an tionscadal i gcomhréir le dlíthe cosanta sonraí. Go háirithe, ba cheart duit smaoineamh ar an gcomhlíonann an tionscadal na prionsabail um chosaint sonraí, agus a chinntiú go bhfuil bunús dlí maith agat chun sonraí pearsanta a phróiseáil.

5. Na torthaí DPIA a shíniú agus iad a thaifeadadh

Is é an príomhchuspóir DPIA a dhéanamh ná na rioscaí cosanta sonraí a bhaineann le tionscadal a aithint agus a íoslaghdú. Mar sin féin, mar a leagadh béim air sa treoir seo, chabhródh taifead ar na céimeanna go léir a ghlactar mar chuid den DPIA lena chinntiú go gcuirfear an próiseas i gcrích go críochnúil, agus cuirfidh sé páirtithe leasmhara ar a suaimhneas go ndearnadh machnamh ar gach riosca cosanta sonraí. Ba cheart go mbeadh an taifead scríofa seo mar bhunús chur i bhfeidhm na réitigh cosanta sonraí a aithníodh, agus is féidir iad a úsáid chun cur i bhfeidhm gach réiteach a chinntiú.

Níl aon cheanglas ann tuarascáil deiridh DPIA a chruthú ach is dea-chleachtas é sin a dhéanamh. Ba cheart go dtabharfadh an tuarascáil seo, go hachomair, an taifead a coinníodh ar gach céim den phróiseas DPIA agus na conclúidí ar gach céim den phróiseas tabhairt faoi deara. Ba cheart go gcuirfí forbhreathnú ar an tionscadal san áireamh freisin, ag míniú cad chuige a ndearnadh é agus an tionchar a bheidh aige ar chosaint sonraí. Ba cheart go ndéanfaí cur síos ar an bpróiseas a glacadh le linn an DPIA a dhéanamh, agus ar na rioscaí agus ar na réitigh cosanta sonraí a aithníodh mar chuid den phróiseas. Féadfaidh d'eagraíocht chinneadh a dhéanamh an tuarascáil DPIA nó achoimre air a fhoilsiú. Is dócha go mbeidh tionchar ag an gcinneadh maidir leis an tuarascáil a fhoilsiú ar an méid faisnéise mionsonraithe a chuirfear sa tuarascáil, toisc nach mbeadh sé iomchuí faisnéis íogair ó thaobh tráchtála de nó an iomarca mionsonraí maidir le leochaileachtaí slándála a aithníodh a fhoilsiú.

Ní gá go mbeadh próiseas foirmiúil sínithe i gceist le DPIA, ach d'fhéadfadh sé tarlú go n-éileoidh d'eagraíocht é, go háirithe má mholtar athruithe suntasacha ar nádúr an tionscadail, nó má mholtar go nglacfar le rioscaí suntasacha.

Más rud é nach féidir na rioscaí príobháideachta sonraí a aithníodh a mhaolú i gcomhthéacs na spriocanna tionscadail, agus nach mbeadh sé comhréireach glacadh leo, ba cheart an chéim seo a úsáid chun inmharthanacht an tionscadail a athmheas. I gcásanna den sórt sin, féadfaidh eagraíocht cinneadh a dhéanamh spriocanna tionscadail a athrú chun rioscaí cosanta sonraí a mhaolú, nó an tionscadal ar fad a thréigean.

6. Torthaí an DPIA a chomhtháthú ar ais sa phlean tionscadail

Nuair a bheidh sé sínithe, is gá torthaí an DPIA a chur i bhfeidhm trí aon athruithe riachtanacha a chomhtháthú le plean an tionscadail. A luaithe agus is féidir an DPIA a chríochnú, is éasca a bheidh sé é a chur i bhfeidhm na réitigh phríobháideachta sonraí, ach ós rud é nach mbeidh an DPIA de ghnáth críochnaithe go dtí go mbeidh an tionscadal ar bun cheana féin sna céimeanna pleanála, is gá de ghnáth pleananna a choigeartú chun éifeacht a thabhairt do na réitigh phríobháideachta sonraí a aithníodh.

Mar chuid de chur i bhfeidhm an DPIA, ba cheart go ndéanfá athbhreithniú leanúnach ar shaincheisteanna cosanta sonraí. Go háirithe, ba cheart duit measúnú a dhéanamh an bhfuil éifeacht na réiteach cosanta sonraí atá curtha i bhfeidhm ag an leibhéal maolaithe rioscaí cosanta sonraí a bhí beartaithe. Ina theannta sin, má athraíonn aidhmeanna tionscadail athrú nó má déantar leathnú air ar feadh a shaoilré, b'fhéidir go mbeadh sé riachtanach measúnú a dhéanamh ar an bhfuil gá le DPIA eile chun éifeacht na n-athruithe ar na rioscaí cosanta sonraí a aithníodh. Is féidir athbhreithniú den sórt sin a ionsuiteáil i nósanna imeachta reatha na heagraíochta.

Comhairliúchán leis an gCoimisinéir Cosanta Sonraí agus an DPIA a fhoilsiú

Ar chóir dul i gcomhairle leis an gCoimisinéir Cosanta Sonraí ar chríochnú an DPIA?

Más rud é, le linn an phróisis DPIA, gur aithin an Rialtóir Sonraí rioscaí sonraí pearsanta agus gur ghlac sé bearta chun aon rioscaí ar shonraí pearsanta a mhaolú, ní gá dul i gcomhairle leis an CCS sula leanfar ar aghaidh leis an tionscadal.

Má thugann an DPIA le fios nach féidir aon rioscaí aitheanta a bhainistiú agus go bhfuil an riosca iarmharach fós ard, ní mór duit ansin dul i gcomhairle leis an gCoimisinéir Cosanta Sonraí sula dtéann tú ar aghaidh leis an tionscadal.

Beag beann ar a bhfuil gá le dul i gcomhairle leis an CCS nó nach bhfuil, tá ceanglas ort fós taifead a choinneáil den DPIA agus an DPIA a thabhairt cothrom le dáta in am tráth.

Fiú mura bhfuil gá le comhairliúchán, féadfaidh an CCS an DPIA a athbhreithniú ar dháta níos déanaí i gcás iniúchta nó imscrúdaithe a eascraíonn as an úsáid a bhaineann tú as sonraí pearsanta.

Ar chóir an DPIA a fhoilsiú?

Níl sé éigeantach go dlíthiúil an DPIA a fhoilsiú. Mar sin féin, tá roinnt buntáistí ann é sin a dhéanamh. Is féidir le foilsiú an DPIA cabhrú le muinín a chothú maidir le láimhseáil sonraí pearsanta d’eagraíochta, chomh maith le cuntasacht agus trédhearcacht a léiriú, go háirithe nuair a bhíonn tionchar aici ar an bpobal. D'fhéadfadh sé seo a bheith thar a bheith tairbhiúil i gcás DPIAanna a dhéanann comhlachtaí poiblí.

Ní gá go mbeadh an measúnú iomlán sa DPIA foilsithe, go háirithe nuair a d'fhéadfadh faisnéis maidir le rioscaí slándála nó faisnéis atá íogair ó thaobh na tráchtála de a bheith sa DPIA. B'fhéidir nach mbeadh i gceist ach achoimre ach ar phríomhthorthaí an DPIA.