Për të përcaktuar se cilat operacione përpunimi kanë të ngjarë të sjellin rrezik të lartë dhe për të cilin VNMDHP është i detyrueshëm, kontrolluesi duhet të marrë parasysh të paktën një nga kriteret e mëposhtme:
1. Evoluimi ose rangimi, përfshirë profilizimin dhe parashikimin, veçanërisht në bazë të aspekteve që lidhen me funksionimin e subjektit të të dhënave personale, statusin ekonomik, shëndetin, preferencat ose interesat personale, sigurinë ose sjelljen, vendndodhjen ose lëvizjet. Një shembull i këtij kriteri është institucioni financiar që kontrollon klientët e tij në bazat referente të të dhënave për aftësite kredituese, në bazat e të dhënave për pastrimin e parave dhe të financimit të terroriymit, ose në bazën e të dhënave per mashtrim; një kompani bioteknologjike që ofron testime gjenetike për klientët e saj për të vlerësuar dhe parashikuar sëmundje ose rreziqe shëndetësore; ose një kompani që gjeneron profile të sjelljes ose një profil marketing bazuar në përdorimin ose pamjet e faqes së saj të internetit.
2. Marrja e vendimeve automatike me efekt juridik ose të ngjashëm me përmbajtjen, gjegjësisht përpunimi drejtuar kah marrja e vendimeve për subjektet e të dhënave personale që prodhojnë pasoja juridike për personin fizik ose në një mënyrë të ngjashme ndikojnë ndjeshëm te personi fizik. Për shembull, përpunimi mund të rezultojë me përjashtim ose diskriminim të individëve. Përpunimi që ka pak ose aspak ndikim tek individët nuk I përgjigjet këtij kriteri.
3. Mbikëqyrja sistematike, gjegjësisht përpunimi që përdoret për ndjekje, mbikëqyrje ose kontrolle të subjekteve të të dhënave personale, përfshirë të dhënat e mbledhura përmes rrjeteve ose “mbikëqyrjen sistematike në hapësirat publike në dispozicion”. Ky lloj monitorimi është një nga kriteret sepse të dhënat personale mund të mblidhen në situata kur subjektet e të dhënave personale nuk janë të vetëdijshëm se kush i mbledh të dhënat e tyre dhe për cilat qëllime do të përdoren. Përveç kësaj, individët mund të mos jenë në gjendje të shmangin përpunimin e tillë në vendet publike (ose publikisht të arritshme).
4. Të dhëna të ndjeshme ose të dhëna me natyrë shumë personale: kjo përfshin kategori të veçanta të të dhënave personale të përcaktuara në nenin 4 paragrafi (1) pika 13 të Ligjit për mbrojtjen e të dhënave personale, si dhe të dhëna personale që lidhen me dënimet penale dhe veprat penale. Për shembull, një spital i përgjithshëm që ruan dokumentacion mjekësor të pacientëve ose një detektiv privat i cili ruan detaje të autorëve.
Disa kategori të të dhënave mund të konsiderohen se rrisin rrezikun e mundshëm për të drejtat dhe liritë e individëve. Këto të dhëna personale konsiderohen të ndjeshme sepse lidhen me aktivitete në shtëpi dhe aktivitete private (për shembull, komunikimet elektronike, konfidencialiteti i të cilave duhet të mbrohet) ose sepse ato ndikojnë në realizimin e të drejtës themelore (për shembull, të dhënat e vendndodhjes, mbledhja e të cilave vë në dyshim lirinë e lëvizjes) ose sepse shkelja e tyre ndikon seriozisht jetën e përditshme të subjekteve të të dhënave personale (për shembull, të dhënat financiare që mund të shfrytëzohen për mashtrime gjatë operacioneve pagesore). Në këtë drejtim, mund të jetë e rëndësishme nëse këto të dhëna tashmë janë bërë në publike nga subjekti i të dhënave ose nga një palë e tretë. Fakti që të dhënat personale janë në dispozicion të publikut, mund të konsiderohet një faktor për vlerësim nëse në vazhddimësi do të përdoren ato të dhëna për qëllime specifike. Ky kriter mund të përfshijë të dhëna të tilla si dokumente personale, postë elektronike, ditarë, shënime nga lexuesit elektronikë në të cilat mund të futen shënime dhe shumë informacione personale të përfshira në aplikacione për aktivitete të përditshme.
5. Përpunim i gjerë i të dhënave. Në përcaktimin nëse përpunimi është i gjerë sipas rrethanave të secilit rast të veçantë, merren parasysh faktorët e mëposhtëm:
- numri i subjekteve të të dhënave personale në fjalë, pavarësisht nëse është një numër përkatës ose përqindje specifike e popullatës;
- vëllimi i të dhënave dhe / ose fushëveprimi i llojeve të ndryshme të të dhënave që përpunohen;
- kohëzgjatja ose vazhdimësia e operacioneve për përpunimin e të dhënave personale;
- shtrirjen gjeografike të aktiviteteve të përpunimit të të dhënave personale.
6. Një grup i të dhënave personale që përputhen ose ndërthurin (kombinohen), për shembull, ato me origjinë nga dy ose më shumë operacione të përpunimit të të dhënave personale të kryera për qëllime të ndryshme dhe / ose nga kontrollues të ndryshëm në një mënyrë që tejkalon pritjet e arsyeshme të subjektit të të dhënave personale;
7. Të dhëna në lidhje me subjektet e cenueshme të të dhënave personale: përpunimi i këtij lloji të të dhënave është një kriter për shkak të rritjes së çekuilibrit të fuqisë midis subjekteve të të dhënave personale dhe kontrolluesve, me anë të të cilave individët nuk mund thjesht të pajtohen ose të kundërshtojnë përpunimin e të dhënave të tyre ose për të realizuar të drejtat e tyre. Subjektet e cenueshme të të dhënave personale janë fëmijë (konsiderohet se ata nuk mund të pajtohen me vetëdije dhe me qëllim ose të kundërshtojnë përpunimin e të dhënave të tyre personale), punonjës, grupe më të cenueshme që kanë nevojë për mbrojtje të veçantë (persona me aftësi të kufizuara mendore, aplikantë për azil ose të moshuarit, pacientët, etj), si dhe raste të tjera kur ekziston një çekuilibër në pozicionin e subjektit të të dhënave personale dhe kontrolluesit.
8. Përdorimi inovativ ose aplikimi i zgjidhjeve të reja teknologjike ose organizative, siç është kombinimi i përdorimit të gjurmëve të gishtërinjve dhe njohjes së fytyrës për të përmirësuar kontrollin e qasjes fizike, etj. Përdorimi i teknologjisë së re, të përcaktuar në përputhje me nivelin e arritur të njohurive teknologjike, mund të çojë në nevojën për zbatimin e VNMDHP -së. Kjo për shkak se përdorimi i një teknologjie të tillë mund të përfshijë forma inovative të mbledhjes dhe përdorimit të të dhënave me një rrezik potencialisht të lartë për të drejtat dhe liritë e individëve. Pasojat personale dhe sociale të aplikimit të teknologjisë së re janë ende të panjohura. VNMDHP ndihmon kontrolluesin në kuptimin dhe menaxhimin e rreziqeve të tilla. Për shembull, aplikacione të caktuara „Internet i Gjërave” (Internet of Things- IoT) mund të ndikojnë ndjeshëm në jetën e përditshme dhe privatëesin e individëve; prandaj, VNMDHP duhet të zbatohet.
9. Situatat kur përpunimi mund të parandalojë që subjektet e të dhënave personale të ushtrojnë të drejta të caktuara ose të përdorin një shërbim ose kontratë. Kjo përfshin procedurat e përpunimit që duhet të mundësojnë, modifikojnë ose mohojnë qasjen në të dhënat personale në një shërbim ose kontratë të veçantë. Për shembull, banka kontrollon klientët në bazën e të dhënave për aftësin kreditore kur vendos për kredi.
Shembuj se si duhet të përdoren kriteret për të vlerësuar nëse për një operacion të veçantë përpunimi duhet të kryhet VNMDHP:
Shembuj të përpunimit | Kriteret e mundshme përkatëse | A është e nevojshme të kryhet një VNMDHP? |
Spitali që përpunon të dhëna gjenetike dhe shëndetësore të pacientëve të tij (sistemi i informacionit spitalor). | të dhëna personale të ndjeshme apo të dhëna të një natyre shumë personale.
Të dhëna që lidhen me subjektet e cenueshme të të dhënave personale. Të dhëna personale të gjera. |
Po |
Përdorimi i sistemit të video mbikqyrjes për të monitoruar sjelljen e drejtuesve në autostrada. Kontrolluesi synon të përdorë një sistem inteligjent të analizës së videove për ndarjen e makinave dhe njohjen automatike të targave. | Monitorimi sistematik.
Përdorimi inovativ ose aplikimi i zgjidhjeve teknologjike ose organizative. |
Po |
Një kompani që monitoron sistematikisht veprimtarinë e punonjësve të saj, përfshirë monitorimin e vendeve të punës të punonjësve, aktivitetet në internet, etj. | Monitorimi sistematik.
Të dhëna në lidhje me subjektet e cenueshme të të dhënave personale. |
Po |
Mbledhja e të dhënave personale nga media sociale publike për të krijuar profile. | Evoluimi ose rangimi.
Të dhëna personale të gjera. Një grup i të dhënave personale që përputhen ose kombinohen. Të dhëna personale të ndjeshme ose të dhëna të një natyre shumë personale. |
Po |
Një institucion që krijon një bazë të dhënash personale për vlerësimin e kredive ose mashtrimet në nivel kombëtar. | Evoluimi ose rangimi.
sjellje automatike e vendimeve me efekt juridik ose veprim thelbësor të ngjashëm Parandalon subjektet e të dhënave personale nga ushtrimi i të drejtave të caktuara ose shfrytëzimi i ndonjë shërbimi ose kontrate. Të dhëna personale të ndjeshme ose të dhëna të një natyre shumë personale. |
Po |
Mbledhja dhe ruajtja e të dhënave personale të ndjeshme të pseudonimizuara për qëllime arkivimi në lidhje me subjektet e cenueshme të të dhënave personale për projektet kërkimore ose provat klinike. | Të dhëna personale të ndjeshme.
Të dhëna në lidhje me subjektet e cenueshme të të dhënave personale. Parandalon subjektet e të dhënave personale nga ushtrimi i të drejtave të caktuara ose shfrytëzimi i ndonjë shërbimi ose kontrate. |
Jo |
Përpunimi i të dhënave personale të pacientëve ose klientëve të mjekëve të familjes, punëtorë të tjerë shëndetsorë ose avokat | Të dhëna personale të ndjeshme ose të dhëna të një natyre shumë personale.
Të dhëna në lidhje me subjektet e cenueshme të të dhënave personale. |
Jo |
Revistë në internet që përdor një listë postare për të dërguar lajmeditore për parapaguesit e saj. | Të dhëna personale të gjëra. | Jo |
Web faqe për tregti elektronike që tregon reklama për pjesët e kohëmatësve të vjetra, i cili përfshin pjesërisht profilizim bazuar në shikueshmëri ose porosi nga faqja e internetit e tyre. | Evoluimi ose rangimi. | Jo |
Lista e llojeve të operacioneve të përpunimit për të cilat kërkohet një vlerësim i ndikimit në mbrojtjen e të dhënave personale mund të shkarkohet në lidhjen vijuese. линк
.