Det spanske agentur for databeskyttelse (AEPD) har offentliggjort en tjekliste for at hjælpe dataansvarlige med hurtigt at identificere og afgøre, om den proces og dokumentation, der følges for at udføre en databeskyttelsesvurdering (EIPD) indeholder de nødvendige elementer.
AEPD har vejledningen 'Risikostyring og konsekvensvurdering i persondatabehandling', som letter den obligatoriske risikostyring i enheders styringsprocesser og, hvor det er relevant, EIPD. Denne liste over yderligere kontroller er denne vejledning og giver mulighed for, når konsekvensanalysen er blevet afdækket og dokumenteret, at udføre en sidste kontrol for at verificere, at du har modtaget alle de aspekter, der er registreret i databeskyttelsesstandarden.
Den generelle databeskyttelsesforordning slår fast, at organisationer, der behandler personoplysninger, skal udøve risikostyring for at etablere foranstaltninger, der garanterer enkeltpersoners rettigheder og friheder. Ligeledes i de tilfælde, hvor behandlingerne indebærer en høj risiko for databeskyttelse, bestemmer forordningen, at disse organisationer er forpligtet til at udføre en databeskyttelseskonsekvensvurdering for at reducere disse risici. Hvis risikoen efter gennemførelse af EIPD, og efter habiter har truffet foranstaltninger, fortsat er høj, skal den ansvarlige foretage en forudgående høring af kontrolmyndigheden, inden denne behandling af personoplysninger udføres.
Formålet med denne nye ressource fra AEPD er at hjælpe de personer, der er ansvarlige for at overholde forpligtelserne til at udvikle og dokumentere en EIPD, og således at det i tilfælde af at skulle gennemføre denne forudgående høring med agenturet er lettere at verificere, at den er opfyldt med kravene til dens præsentation, især udledningen af Instruktion 1/2021, for hvilken der er fastsat retningslinjer vedrørende styrelsens rådgivende funktion.
I dette tilfælde, hvis de ansvarlige for behandlingen planlægger at gennemføre en forudgående konsultation, fastslår Instruktion 1/2021, at de skal overveje, hvad der er angivet af AEPD i dens vejledninger og anbefalinger. Den ansvarlige skal derfor indsende denne komplette tjekliste til agenturet for at inkludere det mindst nødvendige indhold og give en større præcision og nøjagtighed.
Processen for at overholde tjeklisten kræver opdatering af værdien af 'check'-kolonnen (et valgfelt markeret som standard som 'nej'), tilføjelse af de observationer eller konklusioner, der er passende, og som refererer til og/eller omdirigerer til EIPD'et dokumentation.
Denne tjekliste er et værktøj, der skal hjælpe de ansvarlige for at gennemføre et afsluttende nøgternt tjek, der skal indgå i SIFT, som det er udviklet og dokumenteret. Derfor skal den dataansvarlige, uanset denne ressource fra styrelsen, overholde princippet om proaktivt ansvar, som forordningen pålægger, hvilket betyder at udføre risikostyring og udføre en EIPD, når behandlingen indebærer en høj risiko for rettighederne og folks frihedsrettigheder. .
