Page contents Page contents Odpowiedź Ocena skutków dla ochrony danych jest wymagana w każdym przypadku, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena skutków jest niezbędna przynajmniej w poniższych sytuacjach: dokonywanie systematycznej, kompleksowej oceny czynników osobowych osób fizycznych, między innymi na podstawie profilowania, przetwarzanie danych wrażliwych na dużą skalę, systematyczne monitorowanie na dużą skalę miejsc publicznie dostępnych. Krajowe organy ochrony danych, wspólnie z Europejską Radą Ochrony Danych, mogą udostępnić listę przypadków, w których wymagane będzie dokonywanie oceny skutków dla ochrony danych. Ocena skutków powinna być przeprowadzana przed rozpoczęciem operacji przetwarzania i powinna być traktowana nie jako jednorazowe badanie, ale jako rozwijające się narzędzie. W przypadku szczątkowego ryzyka, któremu nie można zapobiec za pomocą wdrożonych środków, należy skonsultować sprawę z OOD jeszcze przed rozpoczęciem przetwarzania. Przykłady Ocena skutków dla ochrony danych jest wymaganaBank sprawdza klientów w bazie informacji kredytowej; szpital, który ma zamiar wdrożyć nową bazę danych pacjentów zawierającą dane dotyczące stanu zdrowia; przewoźnik autobusowy ma zamiar zainstalować system kamer w celu monitorowania zachowań kierowcy oraz pasażerów. Ocena skutków dla ochrony danych nie jest wymaganaLokalny lekarz przetwarza dane osobowe swoich pacjentów. W tym przypadku nie ma wymogu dokonywania oceny skutków dla ochrony danych, gdyż przetwarzanie danych przez lokalnych lekarzy odbywa się na małą skalę, w odniesieniu do ograniczonej liczby pacjentów. Odnośniki Wytyczne EROD dotyczące oceny skutków dla ochrony danych art. 35 i 36 oraz motywy 89–96 RODO Examples DPIA required A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour. DPIA not required A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited. References EDPB Guidelines on Data Protection Impact Assessment (DPIA) Articles 35 and 36 and Recitals (89) to (96) of the GDPR
