Оценка на въздействието върху защитата на данните

Оценката на въздействието върху защитата на данните (ОВЗД) е формален процес, използван за идентифициране и минимизиране на рисковете за защитата на данните при обработване на лични данни. Организациите трябва да извършат ОВЗД преди обработване, което вероятно ще доведе до висок риск за правата и свободите на физическите лица, особено при използване на нови технологии или обработване на специални категории лични данни.

Правно основание

„Когато даден вид обработване, по-специално с използването на нови технологии, и като се има предвид естеството, обхватът, контекстът и целите на обработването, вероятно ще доведе до висок риск за правата и свободите на физическите лица, администраторът преди обработването извършва оценка на въздействието на планираните операции по обработване върху защитата на личните данни."

— Член 35, параграф 1, Регламент (ЕС) 2016/679 (GDPR)

Защо е важно

Оценките на въздействието върху защитата на данните са от съществено значение за всяка организация, която използва лични данни за таргетиране на политическа реклама или техники за доставяне на реклами. Съгласно GDPR администраторите трябва да извършат ОВЗД, когато операциите по обработване вероятно ще доведат до висок риск, особено при използване на профилиране, специални категории данни или систематично наблюдение на физически лица в голям мащаб.

За политическата реклама ОВЗД са особено важни, тъй като техниките за таргетиране често включват обработване на чувствителни лични данни като политически възгледи, които са класифицирани като данни от специална категория по GDPR. Издателите и доставчиците на услуги за политическа реклама трябва да оценят дали техните практики за таргетиране изискват ОВЗД преди стартиране на кампании.

ОВЗД помага на организациите да идентифицират рисковете рано, да приложат подходящи защитни мерки и да демонстрират отчетност. Тя също така определя дали е необходима консултация със съответния орган за защита на данните преди започване на обработването. Организациите, които не извършат изисквани ОВЗД, са изложени на значителни административни глоби по GDPR.

Ключови моменти

Задължителна преди обработване с висок риск: ОВЗД се изискват, когато обработването вероятно ще доведе до висок риск за правата и свободите на физическите лица, особено при използване на нови технологии или профилиране
От съществено значение за политическата реклама: Таргетирането на политически реклами с използване на лични данни, особено специални категории като политически възгледи, обикновено изисква ОВЗД
Трябва да се извърши предварително: Оценката трябва да се извърши преди започване на обработването, а не след като кампаниите вече са в ход
Идентифицира и смекчава рисковете: ОВЗД систематично идентифицират рисковете за защитата на данните и помагат на организациите да приложат подходящи технически и организационни мерки
Може да изискват консултация с орган: Ако рисковете остават високи след мерките за смекчаване, организациите трябва да се консултират със своя орган за защита на данните преди да продължат
Демонстрира съответствие: Провеждането и документирането на ОВЗД е част от принципа на отчетност по GDPR и показва проактивно спазване на изискванията

Оценка на въздействието върху защитата на данните спрямо оценка на риска

Въпреки че и двата процеса оценяват рисковете, оценката на въздействието върху защитата на данните е специфично правно изискване по GDPR, фокусирано върху рисковете за неприкосновеността на личния живот и защитата на данните за физическите лица. Общата оценка на риска може да обхваща по-широки организационни или бизнес рискове, като репутационни щети, финансови загуби или оперативна сигурност.

ОВЗД специално разглежда как операциите по обработване засягат правата и свободите на физическите лица, като отчита фактори като естеството, обхвата, контекста и целите на обработването. Тя изисква специфично съдържание, включително описание на операциите по обработване, оценки на необходимостта и пропорционалността, идентифицирани рискове и планирани защитни мерки.

Съгласно Регламент 2024/900 относно политическата реклама организациите трябва също да извършват системни оценки на риска, ако отговарят на изискванията за много големи онлайн платформи (VЛОП), но те са отделни от ОВЗД, въпреки че констатациите могат да се допълват взаимно.

Свързани термини

Да. Като регламент на ЕС, TTPA е пряко приложим във всички държави членки, без да изисква национално транспониране. Държавите членки трябва само да определят компетентни органи и да установят санкции.

Изискванията за прозрачност гарантират, че всички политически субекти действат при едни и същи правила. Избирателите могат да видят кой разполага с ресурси и как се използват те, подкрепяйки честната конкуренция.

Прозрачността изгражда доверие, като показва на избирателите, че политическите субекти действат открито. Скритото финансиране или насочването подкопава доверието в демократичните процеси.

Чрез изискването за ясно обозначаване и достъпна информация за прозрачност, TTPA помага на хората да разпознават политическата реклама и да разбират кой се опитва да ги влияе.

Политическата реклама включва всяко платено съобщение, което популяризира политически субект, влияе върху поведението при гласуване, въздейства върху резултата от избори или референдуми или влияе върху законодателни или регулаторни процеси. Тя включва също така всяка реклама от или от името на политически субект.

Не. TTPA не засяга националните правила относно съдържанието на политическите реклами, финансирането на кампании, изборните периоди или общите забрани за политическа реклама. Регламентът добавя изисквания за прозрачност към съществуващите национални законодателства.

Официалното наименование е Регламент (ЕС) 2024/900 на Европейския парламент и на Съвета относно прозрачността и таргетирането на политическата реклама. Публикуван е на 20 март 2024 г.

Да. TTPA обхваща всички политически реклами, независимо дали са онлайн или офлайн, включително печатни, билбордове, телевизия, радио и дигитални канали. Правилата за таргетиране в глава III се прилагат само за онлайн реклама.