PIA 和 DPIA：GDPR 合规的两步流程

fabiha01

如果您在欧盟或英国的公司工作，您可能已经听说过有关数据保护的公平言论。从人力资源到销售，个人数据渗透到公司的几乎每个方面。《通用数据保护条例》（GDPR）下最大的任务之一是收集所有必需的信息并将其编译成合规、实用且有效的形式。

隐私影响评估（PIA）
根据艺术。 30 GDPR 任何处理个人数据的公司都必须创建并维护处理活动记录 (ROPA)。在此记录中必须列出处理个人数据的所有处理活动。除处理活动的名称外，还必须提供以下信息：

有关控制器的信息；
处理的目的；
数据主体的类别；
个人数据类别；
第三方接收者的类别；
向第三国或国际组织转移并提供适当保障措施的文件；
保留期限；和
技术和组织措施（TOM）的描述。
这些进入 ROPA 的内容以及对法规遵守情况的评估均被视为隐私影响评估 (PIA)。它们都是关于分析一个实体如何收集、使用、共享和维护与现有风险相关的个人身份信息。在处理个人数据的组织内进行的所有处理活动都需要 PIA ，并且 PIA 有助于公司实施设计隐私。通过进行 PIA 获得的信息为公司提供了制定控制公司文化和正在处理的个人数据隐私的政策所需的信息。

数据保护影响评估 (DPIA)
在某些情况下，PIA 与第 14 条中提到的数据保护影响评估 (DPIA)相混淆。 35 GDPR。但两者是有区别的。 DPIA 旨在识别和最小化与处理个人数据相关的风险，并且仅在某些情况下才需要。

英国信息专员办公室 (ICO)在GDPR 第 90 条规定中提供的指导基础上进一步指出，DPIA 必须：

描述处理的性质、范围、背景和目的；
评估必要性、相称性和合规性措施；
识别和评估个人风险；和
确定任何减轻这些风险的额外措施。
根据GDPR 第 84 条规定，“在确定采取适当措施以证明个人数据处理符合本法规时，新西兰商业传真列表 应考虑评估结果。”

为了使这个过程更容易一些，GDPR Recital 91提供了有关何时需要进行此类评估的指导。这些情况包括：

处理大量的个人数据；
使用了一项新技术；
发生分析；或者
在公共区域进行监控。
这些情况必须与处理可能对数据主体的权利和自由造成高风险的事实相结合，才需要进行 DPIA。为了简化“必要性评估”艺术。第35段4 GDPR规定，监管机构应创建白名单和黑名单，列出免于 DPIA 和受 DPIA 约束的处理活动。目前，欧盟每个国家都有自己的名单，无论是白名单还是黑名单，或者两者兼有，目前还没有一个综合名单。

两步流程
查看每次评估所需的信息，您可以将其视为遵守 GDPR 的两步流程。第一阶段，即 PIA，针对每个涉及个人数据的处理实例完成；第二阶段，即 DPIA，仅当初始 PIA 表明相关活动带来更大的风险或当局特别要求时才完成。

作为隐私，了解两种不同律师分析之间的差异并能够向客户解释这种差异极为重要。在英语中，GDPR 的实际文本中仅提到了数据保护影响评估。然而，在其他地方，这两个术语有时被认为可以互换使用。但是，如上所述，所有涉及个人数据的处理活动都需要 PIA，并且可以以简短而简洁的形式完成。另一方面，DPIA 仅对某些处理活动是必需的，并且应提供有关处理的更深入的信息以及组织如何以这种方式最大限度地降低与处理个人数据相关的数据主体的风险。