DPIA는 언제 수행해야 합니까?

기사 검색

35(1)조에 따르면 처리 유형이 다음과 같은 경우 DPIA를 수행해야 합니다.높은 위험을 초래할 가능성이 있음개인의 권리와 자유:

"특히 신기술을 사용하고 처리의 성격, 범위, 상황 및 목적을 고려한 처리 유형이 자연인의 권리와 자유에 큰 위험을 초래할 가능성이 있는 경우 컨트롤러는 사전에 다음을 수행해야 합니다. 처리에 관해서는 예상되는 처리 작업이 개인 데이터 보호에 미치는 영향에 대한 평가를 수행합니다. 단일 평가로 유사한 높은 위험을 내포하는 일련의 유사한 처리 작업을 다룰 수 있습니다."

이러한 맥락에서 위험은 개인에게 심각한 신체적, 물질적, 비물질적 피해가 발생할 가능성에 관한 것입니다. DPIA란 무엇입니까?를 참조하세요. 위험의 성격에 대한 자세한 내용은

어떤 것이 '고위험'인지 평가하려면 영국 GDPR은 개인에게 잠재적인 피해가 발생할 가능성과 심각도를 모두 고려해야 한다고 명시하고 있습니다. '위험'은 어떤 피해가 발생할 가능성이 희박하다는 의미입니다. '높은 위험'은 해를 끼칠 가능성이 더 높거나 잠재적 해로움이 더 심각하거나 이 둘이 결합되어 있기 때문에 더 높은 임계값을 의미합니다. 그런 의미에서 위험 가능성을 평가하는 것은 DPIA 업무의 일부입니다.

그러나 이러한 초기 심사 목적에 대한 질문은 처리가 다음과 같은지 여부입니다.발생할 가능성이 있는 유형의위험이 높습니다.

영국 GDPR은 '높은 위험을 초래할 가능성이 있음'을 정의하지 않습니다. 그러나 여기서 중요한 점은 처리가 실제로 위험이 높거나 피해를 초래할 가능성이 있는지 여부가 아니라 DPIA 자체에서 세부적으로 평가하는 작업입니다. 대신, 문제는 보다 높은 수준의 선별 테스트입니다. 고위험 가능성을 가리키는 기능이 있습니까? 위험(잠재적 피해 가능성 및 심각도 포함)을 더 자세히 살펴보기 위해 DPIA를 수행해야 함을 나타내는 위험 신호가 있는지 검사하고 있습니다.

35(3)조에는 DPIA가 자동으로 필요한 처리 유형의 세 가지 예가 나열되어 있으며, ICO는 35(4)조에 따라 10개 이상을 명시한 목록을 게시했습니다. 기타 고위험 처리를 식별하는 데 도움이 되는 몇 가지 기준이 포함된 유럽 지침도 있습니다.

이는 이러한 유형의 처리가 항상 위험이 높거나 항상 해를 끼칠 가능성이 있다는 의미는 아닙니다. 다만 위험이 높을 수 있는 합리적인 가능성이 있으므로 DPIA에서 위험 수준을 더 자세히 평가해야 한다는 의미입니다.

귀하의 의도된 처리가 영국 GDPR, ICO 목록 35(3)조 또는 유럽 지침에 설명되어 있지 않은 경우 궁극적으로 귀하의 처리가 높은 위험을 초래할 수 있는 유형인지 결정하는 것은 귀하의 몫입니다. , 처리 범위, 맥락 및 목적. 의심스러운 경우 규정 준수를 보장하고 모범 사례를 장려하기 위해 DPIA를 수행할 것을 항상 권장합니다.

제35(3)조에는 항상 DPIA가 필요한 세 가지 유형의 처리가 명시되어 있습니다.

"(a) 프로파일링을 포함한 자동화된 처리를 기반으로 하고 자연인에 관한 법적 효과를 생성하거나 이와 유사하게 자연인에게 중대한 영향을 미치는 결정의 기반이 되는 자연인과 관련된 개인적 측면에 대한 체계적이고 광범위한 평가."

"(b) 제9(1)조에 언급된 특수 범주의 데이터 또는 제10조에 언급된 범죄 유죄 판결 및 범죄와 관련된 개인 데이터를 대규모로 처리합니다."

"(c) 공개적으로 접근 가능한 지역을 대규모로 체계적으로 모니터링합니다."

EU 데이터 보호 당국(WP29)의 제29조 작업반은 고위험 처리 가능성의 지표로 작용할 수 있는 9가지 기준이 포함된 지침을 발표했습니다.

이러한 요소에 대한 자세한 지침은 WP29 지침(WP248)을 읽어보세요. 고위험 지표에 대한 추론에 대한 배경 지식과 고위험을 초래할 수 있는 처리의 예를 제공합니다.