Что такое DPIA (Data Protection Impact Assessment) и как его создать по GDPR?
- 22 сентября, 2025
- DPIA, GDPR, Защита персональных данных
DPIA, она же Data Protection Impact Assessment, она же оценка воздействия на защиту персональных данных, — это операция, которая помогает выяснить, создает ли обработка риск для субъекта и насколько этот риск серьезен. В этой статье подробнее рассказываем об этой процедуре и как провести ее в соответствии с GDPR (General Data Protection Regulation).
Содержание
Что такое DPIA?
DPIA (она же Data Protection Impact Assessment, она же оценка воздействия на защиту персональных данных) — это операция, которая помогает выяснить, создает ли обработка риск для субъекта и насколько этот риск серьезен. В этой статье подробнее рассказываем об этой процедуре и как провести ее в соответствии с GDPR (General Data Protection Regulation).
Оценка влияния на защиту данных может касаться как одной операции по обработке, так и набора схожих операций, которые представляют примерно равные высокие риски.
DPIA — один из инструментов для подотчётности, который помогает контролёрам соблюдать требования Регламента и демонстрировать, что они принимают соответствующие меры для соответствия.
Проводить Impact Assessment нужно до начала обработки. Этот этап становится частью системы Privacy by Design — защиты персональных данных на этапе проектирования. Но это не значит, что одного раза провести DPIA будет достаточно. Это непрерывный процесс, а не одноразовое мероприятие, особенно когда операция обработки является динамичной и постоянно изменяется. Регулярный пересмотр результатов и соответствующих мер по безопасности необходим.
В целом, DPIA — это не просто документ, но процедура, которая может запустить значительную переработку процессов изнутри, выявить недостатки и критические риски. Это инструмент, который позволяет компаниям защитить себя от проблем с надзорными органами, партнёрами и клиентами.
Кто проводит оценку?
Оценку воздействия проводит контролёр персональных данных, который несёт конечную ответственность за её выполнение. Несмотря на то, что контролёр является ответственным, сама процедура может быть выполнена другими лицами как внутри, так и за пределами организации.
В процессе проведения оценки участвуют следующие стороны:
📎 Контролёр: является главным ответственным за процесс.
📎 Офицер по защите персональных данных (Data Protection Officer): контролёр обязан консультироваться с DPO, если таковой назначен. Советы DPO и принятые контролёром решения должны быть задокументированы. DPO также должен контролировать, как проводится оценка.
📎 Процессор: если обработка полностью или частично осуществляется процессором, он должен помогать контролёру в проведении оценки и давать ему всю необходимую информацию.
📎 Субъекты персональных данных или их представители – контролёр должен запрашивать их мнение, если это уместно. Это можно сделать через опросы или консультации с представителями персонала. Если окончательное решение контролёра отличается от мнения субъектов, это должно быть задокументировано. Если мнение субъектов не запрашивалось, причина этого должна быть задокументирована.
📎 Внутренние команды и подразделения: могут предоставлять входные данные. В частности, рекомендуется привлекать:
— Отделы IT и информационной безопасности (в том числе CISO – Chief Information Security Officer).
— Продуктовую команду (разработчиков, аналитиков, UX-дизайнеров): их участие важно для учёта реальных технических возможностей и ограничений продукта и оценки влияния на пользовательский опыт.
— Бизнес-подразделения: для оценки бизнес-ограничений и создания новых бизнес-процессов.
📎 Независимые эксперты – рекомендуется обращаться за советом к независимым экспертам: юристам, IT-специалистам, специалистам по безопасности, специалистам по социологии и этике.
Участие различных заинтересованных сторон помогает обеспечить комплексный подход и собрать полную информацию для справедливой оценки.
В каких случаях Data Protection Impact Assessment обязательна?
Процедура оценки обязательна, когда обработка данных, вероятно, приведет к высокому риску для прав и свобод физических лиц.
Хотя оценка не требуется для каждой отдельной обработки, Регламент (Статья 35(3)) дает неполный список сценариев, когда риск может быть высоким:
1) Автоматизированная оценка личных характеристик человека (включая профилирование), на основе которой принимаются решения с юридическими последствиями или иным серьёзным влиянием на него. Например, HR-система, которая автоматически анализирует результаты работы сотрудников и решает, кого повысить или уволить. Или алгоритм для оценки кредитоспособности клиента и принимает решение о выдаче кредита.
2) Крупномасштабная обработка специальных категорий данных (например, данные о здоровье, биометрические, генетические, расовом или этническом происхождении, политических взглядах, религиозных или философских убеждениях, членстве в профсоюзах) или персональных данных, касающихся судимостей и правонарушений.
3) Систематический мониторинг общедоступной территории в больших масштабах.
Cписок в Статье 35(3) не является исчерпывающим. Рабочая группа Статьи 29 (WP29), чьи руководства были одобрены Европейским советом по защите данных (European Datd Protection Board), разработала девять критериев, которые помогают определить, когда обработка данных может привести к высокому риску:
1) Оценка или скоринг, включая профилирование и прогнозирование, особенно производительности на работе, экономического положения, здоровья, личных предпочтений или интересов, надежности или поведения, местоположения или перемещения.
2) Автоматизированное принятие решений, имеющее значительные последствия для субъекта данных, например, приводящее к исключению или дискриминации.
3) Систематический мониторинг: обработка, используемая для наблюдения, отслеживания или контроля субъектов, включая данные, собранные через сети или систематический мониторинг общедоступной территории. В таком случае субъекты могут не знать о сборе и использовании их данных, и им может быть невозможно избежать такой обработки.
4) Обработка чувствительных данных, таких как информация о здоровье, расовой принадлежности, судимостях или правонарушениях, а также данные, касающиеся личной жизни (например, местоположение или финансовая информация), которые могут нарушить фундаментальные права человека.
5) Крупномасштабная обработка данных: хотя в GDPR нет четкого определения «крупномасштабной» обработки, WP29 рекомендует учитывать следующие факторы:
📎 Количество затронутых субъектов данных (конкретное число или доля от соответствующей популяции).
📎 Объем данных и/или диапазон обрабатываемых различных типов данных.
📎 Длительность или постоянство деятельности.
📎 Географический охват деятельности.
6) Объединение данных из разных источников или для разных целей таким образом, что это может превзойти ожидания человека, чьи данные используются.
7) Данные, касающиеся уязвимых субъектов: в таком случае может быть повышен дисбаланс между субъектами и контролёром. К уязвимым субъектам могут относиться дети, сотрудники, психически больные, просители убежища, пожилые люди или пациенты.
8) Инновационное использование или применение новых решений, например, сочетание отпечатков пальцев и распознавания лиц для контроля физического доступа.
9) Когда обработка препятствует субъектам осуществлять право или пользоваться услугой или договором. Например, банк, который проверяет клиентов по базе данных кредитных историй для принятия решения о выдаче кредита.
В большинстве случаев, если обработка соответствует двум или более из этих критериев, DPIA считается обязательной. Однако даже если обработка соответствует только одному из этих критериев, DPIA может потребоваться.
Надзорные органы также обязаны публиковать списки операций, которые требуют проведения DPIA (так называемые «черные списки»). Контролёры должны обращаться к таким спискам, а также самостоятельно взвешивать риски.
DPIA также может быть обязательна для уже существующих операций, если произошло изменение рисков, связанных с их характером, объемом, контекстом или целями.
Когда можно не проводить оценку?
📎 Когда обработка, вероятно, не приведёт к высокому риску для прав и свобод физических лиц.
📎 Когда характер, объём, контекст и цели обработки очень схожи с обработкой, для которой DPIA уже была проведена, и её результаты могут быть использованы.
📎 Когда операции обработки были проверены надзорным органом до мая 2018 года в определённых условиях, которые не изменились.
📎 Когда операция обработки имеет правовое основание в законодательстве ЕС или государства-члена, где это законодательство регулирует конкретную операцию, и DPIA уже была проведена в рамках установления этого правового основания.
📎 Когда обработка включена в список операций, для которых DPIA не требуется, составленный надзорным органом.
Как провести Impact Assessment по GDPR?
WP29 предлагает общую схему оценки:
1) Определение цели обработки.
📎 Опишите характер, объем, контекст и цели обработки.
📎 Укажите, какие данные собираются (например, имена, адреса, медицинские записи), как они обрабатываются (хранятся, анализируются, передаются) и кто имеет к ним доступ (сотрудники, сторонние поставщики).
📎 Запишите персональные данные, получателей и период хранения.
📎 Предоставьте функциональное описание операции обработки.
📎 Идентифицируйте активы, на которые опираются персональные данные (аппаратное и программное обеспечение, сети, люди, бумажные или бумажные каналы передачи).
📎 Укажите правовое основание для обработки. Для каждой цели обработки должно быть определено одно правовое основание.
📎 Определите отделы, которые участвуют в обработке, и местонахождение центров обработки данных, чтобы оценить требования к трансграничной передаче и распределение ролей (контролер/обработчик).
2) Оценка необходимости и пропорциональности.
📎 Определите, является ли обработка необходимой для достижения намеченной цели и соразмерной рискам.
📎 Задайте вопросы: Может ли цель быть достигнута менее «вредными» для пользователя способами? Ограничен ли сбор информации тем, что действительно необходимо? Обоснованы ли сроки хранения?
📎 Оцените меры, которые уже предпринимает компания, чтобы обрабатывать данные исходя из пропорциональности и необходимости обработки.
3) Идентификация и оценка рисков для прав и свобод субъектов данных.
📎 Оцените происхождение, характер, особенности и серьезность рисков. Это могут быть риски незаконного доступа, нежелательного изменения и исчезновения данных.
📎 Идентифицируйте источники рисков, потенциальные последствия и угрозы.
📎 Оцените вероятность и серьезность каждого риска. Это можно сделать с помощью специальной матрицы.
⚡️ На бесплатном мини-курсе «Риски в приватности: учимся применять DPIA на практике» мы даем необходимые инструменты для того, чтобы проводить оценку.
Курс ведет Юлия Богданова, GDPR DPP, GDPR DPM, CIPP/E, CIPP/US, Strategic Privacy by Design, второй тренер на фундаментальном курсе GDPR Data Privacy Professional.
📎 Рассмотрите риски, такие как несанкционированный доступ (утечка), дискриминация (предвзятость в автоматизированном принятии решений), потеря контроля (невозможность реализовать права), репутационный ущерб. Этот этап может потребовать много воображения и опыта, так как нужно представить как можно больше потенциальных негативных сценариев. Упростить себе задачу можно с помощью изучения отчетов о штрафах надзорных органов и громких инцидентов.
4) Определение мер по устранению рисков и демонстрации соответствия.
📎 Предложите меры для уменьшения или устранения каждого найденного риска.
Примеры мер: шифрование и псевдонимизация, контроль доступа, прозрачные privacy notice, регулярные аудиты.
📎 Включите меры, которые помогают пользователям знать о своих правах и реализовывать их: информирование, право доступа и переносимости данных, право на исправление и удаление, право на возражение и ограничение обработки и другие.
📎 Рекомендации должны быть четкими, конкретными и выполнимыми. Они не должны ограничиваться только мерами информационной безопасности, но могут включать создание отдельных политик, участие DPO и изменения в бизнес-процессах.
5) Консультация с заинтересованными сторонами.
📎 Обязательно запросите совет DPO.
📎 По мере необходимости запросите мнения субъектов данных или их представителей.
📎 Вовлекайте IT-команды, юристов, разработчиков, аналитиков и UX-дизайнеров.
📎 Если после принятия мер по снижению рисков остаются высокие остаточные риски, проконсультируйтесь с надзорным органом до начала обработки.
📎 Обсудите рекомендации с командой продукта и другими заинтересованными сторонами, чтобы обеспечить их реалистичность и возможность реализации и избежать конфликтов.
6) Документирование и пересмотр.
📎 Зафиксируйте все выводы, решения и действия в подробном отчете.
📎 DPIA — это «живой» документ. Его необходимо пересматривать регулярно или при изменении обработки.
📎 Разработайте детальный Action Plan с четко назначенными ответственными лицами и сроками выполнения.
📎 DPIA считается полностью завершенной только после того, как компания внедрила корректирующие меры.
📎 Обеспечьте постоянный мониторинг внедрения мер и фиксируйте все принятые действия в реестре обработок (RoPA).
📎 Хотя публикация полной DPIA не является обязательной, публикация резюме или выводов может поможет укрепить доверие со стороны пользователей и партнеров. Полный отчет должен быть предоставлен надзорному органу в случае предварительной консультации или по запросу.
Какие знания и навыки требуются для выполнения DPIA?
Кроме полной информации об обработках и помощи коллег из других департаментов, для оценки рисков нужны определенные навыки:
📎 Юридические знания
Понимание законов в сфере data privacy нужны, чтобы точно формулировать цели обработки, определять правовые основания, а также разрабатывать механизмы согласия и необходимые документы.
📎 Технические знания
Защита персональных данных тесно связана с информационной безопасностью. Чтобы понимать, как именно обрабатываются и защищаются данные, нужно разбираться в их жизненном цикле, информационных системах, активах (оборудование, ПО).
📎 Навыки идентификации и оценки рисковых зон
Чтобы провести процедуру, специалист должен моделировать сценарии, предвидеть потенциальные угрозы, анализировать нарушения.
📎 Коммуникативные и переговорные навыки
Помимо того, чтобы провести формальную процедуру, специалист должен уметь взаимодействовать со стейкхолдерами, достигать компромиссов по мерам и показывать командам, почему необходимо внедрять полученные рекомендации.
📎 Навыки мониторинга и контроля
После проведения DPIA важно отслеживать, как внедряются рекомендации.
⚡️ Хотите научиться всему этому? На курсе GDPR Data Privacy Professional мы даем базовые знания законов и принципов защиты персональных данных, которые нужны для выполнения оценки и разработки документов по GDPR.
Сложности разработки Data protection impact assessment и способы их преодоления
Разработка оценки воздействия на защиту персональных данных на практике может быть связан с рядом сложностей и ошибок.
1. Превращение в «бумажную формальность»
Сложность: Часто DPIA выполняется для галочки, как документ для демонстрации соответствия, а не как инструмент реального управления рисками. Рекомендации остаются на бумаге, а корректирующие меры не внедряются. Это означает, что процедура фактически (и юридически) не завершена.
Как с этим справиться?
📎 Важно воспринимать DPIA не как просто документ, а как процедуру, которая запускает переработку процессов изнутри и выявляет критические риски.
📎 Необходимо разработать детальный план действий (Action Plan) с чётко назначенными ответственными и сроками выполнения, а также обеспечить постоянный мониторинг внедрения мер.
2. Фокус на снижение последствий вместо предотвращения угроз
Сложность: DPIA часто критикуют за то, что она направлена на снижение последствий рисков, а не на их предотвращение. Процедура может быть использована для «оправдания» уже возникших проблем, а не для их устранения на ранних стадиях.
Как с этим справиться?
📎 Включите DPIA в концепцию Privacy by Design. Это позволяет предотвращать риски на самых ранних этапах проектирования процесса.
3. Запоздалое проведение DPIA и ограниченное пространство для проектирования
Сложность: DPIA часто проводится слишком поздно, когда решение об обработке данных уже принято и возможности для изменения дизайна системы ограничены. Например, когда уже известно, какую информацию будет обрабатывать система.
Как с этим справиться?
📎 Начинайте оценивать риски как можно раньше в процессе проектирования процесса, даже если некоторые детали ещё неизвестны.
📎 DPIA — это не разовое мероприятие, а непрерывный процесс. Развивайте и обновляйте его по мере развития проекта или изменения рисков.
4. Расплывчатые и обтекаемые рекомендации
Сложность: Рекомендации, сформулированные в DPIA, могут быть слишком абстрактными, что затрудняет их реализацию исполнителями, не имеющими глубоких знаний в области защиты данных. Это может привести к некорректной реализации или даже к отсутствию действий.
Способы преодоления:
📎 Конкретные и технически выполнимые рекомендации: Рекомендации должны быть чёткими, конкретными и технически реализуемыми.
📎 Обсуждение ограничений: Проводить обсуждения технических и бизнес-ограничений с продуктовой командой и другими стейкхолдерами для создания практически применимых рекомендаций.
5. Перекос в сторону информационной безопасности и игнорирование широкого спектра угроз
Сложность: Распространённая ошибка — рассматривать DPIA только как инструмент анализа технических рисков информационной безопасности. Однако в спектре рисков для пользователей остаются дискриминация, манипуляции, потеря контроля над данными, репутационный вред и другие этические аспекты.
Как с этим справиться?
📎 Полноценная оценка должна включать широкий спектр рисков для субъектов данных, и опираться не только на технические мероприятия, но на требования GDPR. Принятые меры должны способствовать соразмерности и необходимости обработки на основе четко определенных, явных и законных целей (ст. 5(1)(b) GDPR) и ограничиваться адекватными, релевантными и необходимыми данными (ст. 5(1)(c) GDPR). Также в отчете должны быть предусмотрены меры, которые помогают соблюдать права субъектов, включая право на информацию (ст. 12, 13, 14 GDPR), доступ и переносимость данных (ст. 15, 20 GDPR), исправление и удаление (ст. 16, 17, 19 GDPR), возражение и ограничение обработки (ст. 18, 19, 21 GDPR).
6. Ресурсные ограничения
Сложность: Особенно для малых предприятий, подготовка DPIA может казаться слишком затратным по времени и ресурсам.
Как с этим справиться?
📎 Используйте готовые ресурсы: Надзорные органы, например, CNIL или ICO зачастую публикуют бесплатные шаблоны и руководства. Чтобы проверять, насколько эффективно внедряются разработанные меры также можно опираться на международные стандарты, например, ISO 27001, ISO 27701.
7. Сложности в идентификации и оценке рисков
Сложность: Для проведения оценки влияния на защиту данных, нужен большой опыт в этой области. Без него специалисту будет сложно моделировать различные сценарии и предвидеть угрозы.
Как с этим справиться?
📎 Используйте таксономию приватности Даниэля Солова. Таксономия разработана на основе анализа судебных дел и категоризирует возможные нарушения приватности. Стретегии Хоупмана также помогают расширить список возможных путей минимизации опасных для пользователей практик.
Провести DPIA в соответствии с General Data Protection Regulation (GDPR) самостоятельно вполне реально. Главное, учитывать эти пункты:
1) Процесс должен быть непрерывным и гибким. DPIA не ограничивается одноразовым документом; она должна быть частью подхода Privacy by Design. Оценку следует проводить до начала обработки данных, а затем регулярно пересматривать, чтобы учитывать изменения в рисках и процессах.
2) Нужно тщательно рассматривать риски. Важно не только документировать потенциальные угрозы, но и оценивать их серьезность и вероятность. Нужно предвидеть все возможные сценарии, такие как несанкционированный доступ или потеря контроля над данными, и разрабатывать конкретные меры для их минимизации.
3) Привлечение заинтересованных сторон. Для комплексной оценки рисков важно задействовать разнообразных специалистов: юристов, разработчиков и даже самих субъектов данных. Это обеспечит всесторонний подход к анализу и поможет выработать действенные рекомендации по устранению рисков.
Правильное выполнение DPIA требует внимательности, вовлеченности и постоянного мониторинга, но это поможет минимизировать риски и достичь желаемого GDPR compliance.
