Metodologjia për zbatimin e VNMDHP

Kontrolluesi detyrimisht duhet të miratojë metodologji adekuate për zbatimin e VNMDHP -së.

Kontrolluesi mund të zgjedhë metodologji të ndryshme për kryerjen e VNMDHP. Më poshtë janë kriteret që kontrolluesi mund të përdorë për të vlerësuar nëse VNMDHP ose metodologjia për kryerjen e VNMDHP është mjaftueshem gjithëpërfshirëse për të përmbushur rregullat e mbrojtjes së të dhënave personale:

• vlerësimi përmban përshkrim sistematik të përpunimit:
  • merren parasysh natyra, vëllimii, konteksti dhe qëllimet e përpunimit;
  • të dhënat personale, marrësit dhe periudha e ruajtjes së të dhënave personale janë evidentuar;
  • është dhënë një përshkrim funksional i operacionit të përpunimit;
  • Janë identifikuar mjete nga të cilat varen të dhënat personale (pajisje, programe softuerësh, rrjete, persona, dokumente letre ose kanale për dërgimin e dokumenteve në letër);
  • Gjithashtu, merret në konsideratë pajtueshmëria me kodet e miratuara të sjelljes;
• Është vlerësuar nevoja dhe proporcionaliteti:
  • masat e parashikuara për respektimin e rregulloreve për mbrojtjen e të dhënave personale përcaktohen, duke marrë parasysh:
    • masa që kontribuojnë në proporcionalitet dhe domosdoshmërin e përpunimit bazuar në:
    • konkrete, të qarta dhe qëllime legjitime;
    • Ligjshmëria e përpunimit;
    • Të dhëna personale adekuate dhe relevante dhe të kufizuara në ato që kërkohen;
    •  afat i kufizuar për rruajtjen e tyre;
  • masa që kontribuojnë në të drejtat e subjekteve të të dhënave personale:
    • informacione të dërguara subjektit të të dhënave personale;
    • e drejta për qasje dhe transportueshmëri të të dhënave;
    • e drejta për korrigjim dhe fshirje;
    • e drejta e kundërshtimit dhe kufizimit të përpunimit;
    • marrëdhëniet me përpunuesit;
    • Masa mbrojtëse në lidhje me transferimin;
    • konsultimi paraprak.
  • Janë kontrolluar rreziqet për të drejtat dhe liritë e të anketuarve:
    • burimi, natyra, veçurit dhe serioziteti i rrezikut vlerësohen, në mënyrë më të detajuar, për secilin rrezik (qasje të paautorizuar, ndryshime të padëshiruara dhe të dhëna që mungojnë) nga këndvështrimi i subjekteve të të dhënave personale:
    • Merren parasysh burimet e rrezikut;
    • Efektet e mundshme në të drejtat dhe liritë e subjekteve të të dhënave personale janë përcaktuar, ndër të tjera, në rast të qasjes së paautorizuar, ndryshimeve të padëshiruara dhe të dhënave të humbura;
    • Janë identifikuar kërcënime që mund të çojnë në qasje të paautorizuar, ndryshim të padëshiruar dhe të dhëna të humbura;
    • Ështe vlerësuar probabiliteti dhe serioziteti;
  • Janë parashikuar masa të caktuara për të eleminuar këto rreziqe;
• Përfshihen palët e interesuara:
  •  kërkohet këshillë nga oficeri;
  • Aty ku është e përshtatshme, kërkohen mendime të subjekteve të të dhënave personale ose përfaqësuesve të tyre.

Në vazhdim janë dhënë shembuj të qasjeve metodologjike për kryerjen e VNMDHP.

Shembuj të kornizave të përgjithshme të VNMDHP ne BE:

• Gjermani: Modeli standard i mbrojtjes së të dhënave personale, V.1.0 - Versioni i Provës, të vitit 2016 (Standard Data Protection Model, V.1.0 – Trial version, 2016). https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf

• Spanjë: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección de datos (AGPD), 2014.

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Gui a_EIPD.pdf

• Francë: Vlerësimi i Ndikimit të Privatësisë (VNP), Privacy Impact Assessment (PIA)), Commission nationale de l’informatique et des libertés (CNIL), 2015. https://www.cnil.fr/fr/node/15798  
• Mbretëria e Bashkuar: Zbatimi i kodeksit në praktikë për Vlerësimin e Ndikimit të Privatësisë, Zyra e Komisionerit të Informacionit (ICO), të vitit 2014. (Conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014). https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf

• Republika Çeke: Metodika obecného posouzení vlivu na ochranu osobních údajů, 23.10.2019, Úřad pro ochranu osobních údajů (UOOU) https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=38693.

Shembuj të kornizës sektoriale të VNMDHP në BE:

• Korniza për vlerësimin e ndikimit të privatësisë dhe mbrojtjes së të dhënave personale në aplikacionet RFID

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp180_annex_en.pdf

• Formulari për vlerësimin e ndikimit në mbrojtjen e të dhënave personale për rrjetet inteligjente dhe sistemet inteligjente të matjes http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf

Standardi ndërkombëtar

• ISO/IEC 291343: https://www.iso.org/obp/ui/#iso:std:iso-iec:29134:ed-1:v1:enGjatë zbatimit të VNMDHP -së duhet të merret parasysh gjithashtu edhe pajtueshmëria me Kodin e Mirësjelljes (neni 44 i Ligjit për mbrojtjen e të dhënave personale). Në këtë mënyrë kontrolluesi mund të tregojë se ka zbatuar masat e adekuate, me kusht që kodi i sjelljes të korrespondojë me procesin e përpunimit (neni 46 i Ligjit për mbrojtjen e të dhënave personale).

Gjithashtu, gjatë zbatimit të VNMDHP -së, duhet të merren parasysh certifikatat, si dhe vulat dhe shenjat për mbrojtjen e të dhënave personale (privacy seals), në mënyrë që të dëshmojnë pajtueshmërinë me rregulloret e mbrojtjes së të dhënave personale nga kontrolluesi.