Education Co-Dex.eu

Notation des critères

Afin de définir le score pour DPC, le responsable du traitement doit suivre les étapes suivantes:

Étape 1: Définition et classification des types de données personnelles

a) Définissez les types de données personnelles impliquées dans la violation.

b) Classer les données dans au moins l'une des quatre catégories: données simples, comportementales, financières et sensibles (ces catégories sont expliquées en détail à l'annexe 1). De cette manière, un score DPC de base préliminaire est obtenu.

La liste des types de données décrits sous les quatre catégories n'est pas exhaustive; cependant, la plupart des données impliquées dans des cas réels peuvent être associées à au moins une des catégories. Les informations d'identification ne sont pas considérées comme une catégorie de données spécifique et doivent être traitées en fonction du type de données traitées par les systèmes auxquels elles donnent accès.

Étape 2: ajustement par des facteurs contextuels liés au traitement des données

c) Évaluer l'occurrence de certains facteurs qui pourraient augmenter ou diminuer le score de base (volume de données, caractéristiques particulières des responsables du traitement ou des individus, invalidité / inexactitude des données, disponibilité publique (avant la violation), nature des données).

d) Si de tels facteurs existent, augmentez / diminuez en conséquence le score de base. Le tableau d'évaluation 1 fournit les échelles d'ajustement par catégorie de données, ainsi que des exemples de cas qui pourraient conduire à des scores plus bas / plus élevés.

Remarque: Même si, aux fins de la méthodologie, quatre catégories de données sont classées, la catégorisation elle-même ne doit pas être considérée comme un classement général des types de données disponibles. Bien plus, des facteurs contextuels supplémentaires liés aux données doivent toujours être pris en compte lors du traitement d'un certain type de données. Par conséquent, le score de base doit être considéré simplement comme une indication générale de la criticité liée à une certaine catégorie de données et le score DPC de tout type de données peut toujours varier de 1 à 4.

Si les données correspondent à plus d'une catégorie, les étapes mentionnées ci-dessus doivent être suivies pour chaque catégorie applicable. Dans ces cas, la valeur à utiliser pour le calcul global de la gravité sera le score le plus élevé atteint.

Si le contrôleur choisit de modifier le score de base DPC (dans la plage du tableau d'évaluation 1), le nouveau score doit être étayé par une explication décrivant les facteurs contextuels particuliers de la violation et leur influence.