DPIA
ÉVALUATION DE L'IMPACT SUR LA PROTECTION DES DONNÉES
Conformément à l'article 35 du GDPR :
Description systématique de la finalité du traitement
Description systématique des opérations de traitement envisagées
Intérêt légitime poursuivi par le responsable du traitement (le cas échéant)
Évaluation de la nécessité liée aux objectifs
Évaluation de la proportionnalité par rapport aux objectifs
Évaluation des risques pour les droits et les libertés
Mesures envisagées pour faire face aux risques
Mesures envisagées pour démontrer la conformité
Conformément à l'article 35 du GDPR :
Description systématique de la finalité du traitement
Description systématique des opérations de traitement envisagées
Intérêt légitime poursuivi par le responsable du traitement (le cas échéant)
Évaluation de la nécessité liée aux objectifs
Évaluation de la proportionnalité par rapport aux objectifs
Évaluation des risques pour les droits et les libertés
Mesures envisagées pour faire face aux risques
Mesures envisagées pour démontrer la conformité
Conformément à l'article 35, paragraphe 4, du règlement et à l'avis du Comité européen de la protection des données (CEPD), le Bureau a établi les opérations de traitement suivantes pour lesquelles une analyse d'impact relative à la protection des données ("AIPD") doit être effectuée par les responsables du traitement avant le traitement.
Afin d'assurer la cohérence dans l'ensemble de l'Union, la liste des types d'opérations de traitement a été établie en tenant compte des lignes directrices sur les DPIA qui ont été adoptées par le WP29 et ensuite approuvées par l'EDPB.
La liste n'est pas exhaustive et doit compléter et préciser ces lignes directrices.
Suivi systématique
Traitement de données à caractère personnel qui implique :
Décisions automatisées
Traitement entièrement ou partiellement automatisé, y compris le profilage, produisant des effets juridiques sur les personnes concernées ou les affectant de manière significative.
Utilisation de technologies innovantes
Tout traitement de catégories particulières de données à caractère personnel et de données concernant des personnes vulnérables, par l'utilisation de technologies innovantes ou la mise en œuvre de nouvelles méthodes dans des technologies existantes.
Catégories particulières de données
Traitement à grande échelle de catégories particulières de données, y compris les données à caractère personnel relatives aux condamnations pénales et aux infractions.
Données biométriques
Toute activité de traitement impliquant des données biométriques dans le but d'identifier de manière unique les personnes concernées :
Données génétiques
Tout traitement de données génétiques, autres que celles traitées par un professionnel de la santé lorsqu'il fournit un service connexe directement aux personnes concernées, dans le but d'apparier ou de combiner des ensembles de données d'une manière qui dépasserait les attentes raisonnables de la personne concernée.
Données concernant les personnes vulnérables
Traitement de données à caractère personnel de personnes physiques vulnérables, en particulier, concernant les enfants, les employés et les personnes bénéficiant d'une forme quelconque d'assistance sociale.
Surveillance des employés
Traitement de données à caractère personnel à des fins d'évaluation ou de notation d'aspects concernant les performances professionnelles de l'employé, ou lorsque le traitement accroît le déséquilibre des pouvoirs entre les personnes concernées et le responsable du traitement, en particulier lorsque les employés peuvent être dans l'incapacité de consentir facilement au traitement de leurs données, de s'y opposer ou d'exercer leurs droits.