Hiszpańska Agencja Ochrony Danych (AEPD) opublikowała listę kontrolną, która ma pomóc osobom odpowiedzialnym za leczenie w szybkiej identyfikacji i ustaleniu, czy proces i dokumentacja stosowane w celu przeprowadzenia oceny skutków dla ochrony danych (EIPD) zawierają niezbędne elementy .
W dyrektywie AEPD znajduje się przewodnik „Zarządzanie ryzykiem i ocena skutków w przetwarzaniu danych osobowych”, który ułatwia obowiązkowe zarządzanie ryzykiem w procesach zarządzania podmiotami oraz, w stosownych przypadkach, w dyrektywie EIPD. Niniejsza lista dodatkowych weryfikacji stanowi niniejszy przewodnik i umożliwia, po odkryciu i udokumentowaniu oceny skutków, przeprowadzenie ostatecznej weryfikacji w celu sprawdzenia, czy uzyskano wszystkie aspekty zapisane w standardzie ochrony danych.
Ogólne rozporządzenie o ochronie danych stanowi, że organizacje przetwarzające dane osobowe muszą wdrożyć zarządzanie ryzykiem w celu ustanowienia środków gwarantujących prawa i wolności osób fizycznych. Podobnie w przypadkach, w których zabiegi wiążą się z wysokim ryzykiem dla ochrony danych, rozporządzenie stanowi, że organizacje te są zobowiązane do przeprowadzenia oceny skutków dla ochrony danych w celu ograniczenia tego ryzyka. Jeżeli po przeprowadzeniu DPIA i przyjęciu przez użytkownika środków ryzyko pozostaje wysokie, administrator musi przeprowadzić uprzednią konsultację z organem nadzorczym przed przetwarzaniem danych osobowych.
Celem tego nowego zasobu z AEPD jest pomoc osobom odpowiedzialnym za wywiązanie się z obowiązków związanych z opracowaniem i udokumentowaniem oceny skutków dla ochrony danych, tak aby, w przypadku konieczności przeprowadzenia wcześniejszych konsultacji z Agencją, łatwiej było sprawdzić, czy jest spełniony z wymogami dotyczącymi jego prezentacji, w szczególności z wyprowadzeniem Instrukcji 1/2021, dla której ustalane są wytyczne dotyczące funkcji doradczej Agencji.
W takim przypadku, jeśli osoby odpowiedzialne za plan leczenia przeprowadzą uprzednią konsultację, Instrukcja 1/2021 stanowi, że muszą wziąć pod uwagę to, co wskazuje AEPD w swoich wytycznych i zaleceniach. W związku z tym osoba odpowiedzialna musi przedłożyć Agencji pełną listę kontrolną w celu uwzględnienia minimalnej wymaganej treści i zapewnienia dalszych konsultacji w celu uzyskania precyzji i dokładności.
Proces uzupełnienia listy kontrolnej wymaga aktualizacji wartości kolumny „chek” (pole wyboru domyślnie oznaczone jako „nie”), dodania odpowiednich obserwacji lub wniosków, które odnoszą się i/lub przekierowują do dokumentacji EIPD .
Niniejsza lista kontrolna jest narzędziem mającym pomóc osobom odpowiedzialnym za przeprowadzenie ostatecznej kontroli trzeźwości, która musi uwzględniać opracowany i udokumentowany test SIFT. Dlatego niezależnie od zasobów Agencji administrator musi przestrzegać zasady proaktywnej odpowiedzialności nałożonej przez rozporządzenie, co oznacza zarządzanie ryzykiem i przeprowadzanie oceny skutków dla ochrony danych, gdy przetwarzanie wiąże się z wysokim ryzykiem dla praw i wolności ludzi.
