Контролорот задолжително донесува соодветна методологија за спроведување на ПВЗЛП.
Контролорот може да избере различни методологии за спроведување на ПВЗЛП. Во продолжение следат критериумите што контролорот може да ги користи за да оцени дали ПВЗЛП или методологијата за спроведување на ПВЗЛП е доволно сеопфатна за да се усогласи со прописите за заштита на личните податоци:
- проценката содржи систематски опис на обработката:
- земени се предвид природата, обемот, контекстот и целите на обработката;
- евидентирани се личните податоци, примателите и периодот на чување на личните податоци;
- даден е функционален опис на операцијата на обработка;
- идентификувани се средства од кои зависат личните податоци (опрема, софтверски програми, мрежи, лица, документи во хартиена форма или канали за испраќање документи во хартиена форма);
- исто така, земена е предвид усогласеноста со одобрените кодекси на однесување;
- проценета е потребата и пропорционалноста:
- одредени се мерките предвидени за усогласување со прописите за заштита на личните податоци, земајќи ги предвид:
- мерки што придонесуваат за пропорционалност и неопходност од обработка врз основа на:
- конкретни, јасни и легитимни цели;
- законитост на обработката;
- соодветни и релевантни личните податоци и ограничени на она што е потребно;
- ограничен рок на чување;
- мерки кои придонесуваат за правата на субјектите на личните податоци:
- информации доставени на субјектот на личните податоци;
- право на пристап и преносливост на податоците;
- право на исправка и бришење;
- право на приговор и ограничување на обработката;
- односи со обработувачите;
- заштитни мерки кои се однесуваат на преносот;
- претходна консултација.
- мерки што придонесуваат за пропорционалност и неопходност од обработка врз основа на:
- одредени се мерките предвидени за усогласување со прописите за заштита на личните податоци, земајќи ги предвид:
- контролирани се ризиците за правата и слободите на испитаниците:
- се проценува изворот, природата, особеноста и сериозноста на ризикот, и тоа подетално за секој ризик (неовластен пристап, несакани промени и исчезнати податоци) од гледна точка на субјектите на личните податоците:
- земени се предвид изворите на ризик;
- утврдени се можните ефекти врз правата и слободите на субјектите на личните податоците, меѓу другото, во случај на неовластен пристап, несакани промени и исчезнати податоци;
- идентификувани се закани што може да доведат до неовластен пристап, несакана промена и исчезнати податоци;
- проценета е веројатноста и сериозноста;
- предвидени се одредени мерки за да се отстранат овие ризици;
- се проценува изворот, природата, особеноста и сериозноста на ризикот, и тоа подетално за секој ризик (неовластен пристап, несакани промени и исчезнати податоци) од гледна точка на субјектите на личните податоците:
- вклучени се засегнатите страни:
- побаран е совет од офицерот;
- каде што е соодветно, побарани се мислења на субјектите на личните податоци или нивните претставници.
Во продолжение дадени се примери на методолошки пристапи за спроведување на ПВЗЛП.
Примери на општи рамки на ПВЗЛП во ЕУ:
- Германија: Стандарден модел за заштита на личните податоците, V.1.0 – Пробна верзија, 2016 година (Standard Data Protection Model, V.1.0 – Trial version, 2016).
https://www.datenschutzzentrum.de/uploads/SDM–Methodology_V1_EN1.pdf
- Шпанија: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección de datos (AGPD), 2014.
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Gui a_EIPD.pdf
- Франција: Проценка на влијанието на приватноста (ПВП) (Privacy Impact Assessment (PIA)), Commission nationale de l’informatique et des libertés (CNIL), 2015. https://www.cnil.fr/fr/node/15798
- Обединетото кралство: Спроведување на кодекс на пракса за проценка на влијанието на приватноста, Канцеларија на Комесарот за информации (ICO), 2014 година. (Conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014). https://ico.org.uk/media/for–organisations/documents/1595/pia–code–of–practice.pdf
- Чешка: Metodika obecného posouzení vlivu na ochranu osobních údajů, 23.10.2019, Úřad pro ochranu osobních údajů (UOOU) https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=38693.
Примери на секторска рамка на ПВЗЛП во ЕУ:
- Рамка за проценка на влијанието на приватноста и заштитата на личните податоци за РФИД апликациите
http://ec.europa.eu/justice/data–protection/article–29/documentation/opinionrecommendation/files/2011/wp180_annex_en.pdf
- Образец за проценка на влијанието на заштитата на личните податоци за паметна мрежа и паметни системи за мерење http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf
Меѓународен стандард
- ISO/IEC 291343: https://www.iso.org/obp/ui/#iso:std:iso-iec:29134:ed-1:v1:en
При спроведување на ПВЗЛП треба да се земе предвид и усогласеноста со кодексот на однесување (член 44 од Законот за заштита на личните податоци). На овој начин контролорот може да демонстрира дека применил соодветни мерки, под услов кодексот на однесување да одговара на процесот на обработка (член 46 од Законот за заштита на личните податоци).
Исто така, при спроведување на ПВЗЛП, треба да се земат предвид и сертификатите, како и печатите и ознаките за заштита на личните податоци (privacy seals) со цел да се демонстрира усогласеност со прописите за заштита на личните податоци од страна на контролорот.