Методологија за спроведување на ПВЗЛП

Контролорот задолжително донесува соодветна методологија за спроведување на ПВЗЛП.

Контролорот може да избере различни методологии за спроведување на ПВЗЛП. Во продолжение следат критериумите што контролорот може да ги користи за да оцени дали ПВЗЛП или методологијата за спроведување на ПВЗЛП е доволно сеопфатна за да се усогласи со прописите за заштита на личните податоци:

  • проценката содржи систематски опис на обработката:
    • земени се предвид природата, обемот, контекстот и целите на обработката;
    • евидентирани се личните податоци, примателите и периодот на чување на личните податоци;
    • даден е функционален опис на операцијата на обработка;
    • идентификувани се средства од кои зависат личните податоци (опрема, софтверски програми, мрежи, лица, документи во хартиена форма или канали за испраќање документи во хартиена форма);
    • исто така, земена е предвид усогласеноста со одобрените кодекси на однесување;
  • проценета е потребата и пропорционалноста:
    • одредени се мерките предвидени за усогласување со прописите за заштита на личните податоци, земајќи ги предвид:
      • мерки што придонесуваат за пропорционалност и неопходност од обработка врз основа на:
        • конкретни, јасни и легитимни цели;
        • законитост на обработката;
        • соодветни и релевантни личните податоци и ограничени на она што е потребно;
        • ограничен рок на чување;
      • мерки кои придонесуваат за правата на субјектите на личните податоци:
        • информации доставени на субјектот на личните податоци;
        • право на пристап и преносливост на податоците;
        • право на исправка и бришење;
        • право на приговор и ограничување на обработката;
        • односи со обработувачите;
        • заштитни мерки кои се однесуваат на преносот;
        • претходна консултација.
  • контролирани се ризиците за правата и слободите на испитаниците:
    • се проценува изворот, природата, особеноста и сериозноста на ризикот, и тоа подетално за секој ризик (неовластен пристап, несакани промени и исчезнати податоци) од гледна точка на субјектите на личните податоците:
      • земени се предвид изворите на ризик;
      • утврдени се можните ефекти врз правата и слободите на субјектите на личните податоците, меѓу другото, во случај на неовластен пристап, несакани промени и исчезнати податоци;
      • идентификувани се закани што може да доведат до неовластен пристап, несакана промена и исчезнати податоци;
      • проценета е веројатноста и сериозноста;
    • предвидени се одредени мерки за да се отстранат овие ризици;
  • вклучени се засегнатите страни:
    • побаран е совет од офицерот;
    • каде што е соодветно, побарани се мислења на субјектите на личните податоци или нивните претставници.

Во продолжение дадени се примери на методолошки пристапи за спроведување на ПВЗЛП.

Примери на општи рамки на ПВЗЛП во ЕУ:

  • Германија: Стандарден модел за заштита на личните податоците, V.1.0 - Пробна верзија, 2016 година (Standard Data Protection Model, V.1.0 – Trial version, 2016).

https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf

  • Шпанија: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección de datos (AGPD), 2014.

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Gui a_EIPD.pdf

Примери на секторска рамка на ПВЗЛП во ЕУ:

  • Рамка за проценка на влијанието на приватноста и заштитата на личните податоци за РФИД апликациите

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp180_annex_en.pdf

Меѓународен стандард

При спроведување на ПВЗЛП треба да се земе предвид и усогласеноста со кодексот на однесување (член 44 од Законот за заштита на личните податоци). На овој начин контролорот може да демонстрира дека применил соодветни мерки, под услов кодексот на однесување да одговара на процесот на обработка (член 46 од Законот за заштита на личните податоци).

Исто така, при спроведување на ПВЗЛП, треба да се земат предвид и сертификатите, како и печатите и ознаките за заштита на личните податоци (privacy seals) со цел да се демонстрира усогласеност со прописите за заштита на личните податоци од страна на контролорот.