Odpoveď
Posúdenie vplyvu sa vyžaduje vždy, keď je pravdepodobné, že spracúvanie spôsobí veľké riziko pre práva a slobody jednotlivcov. Posúdenie vplyvu sa vyžaduje najmenej v nasledujúcich prípadoch:
- systematické a rozsiahle hodnotenie osobných aspektov týkajúcich sa jednotlivca vrátane profilovania;
- spracúvanie citlivých údajov vo veľkom rozsahu;
- systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.
Vnútroštátne úrady na ochranu údajov v spolupráci s Európskym výborom pre ochranu údajov môžu poskytnúť zoznam prípadov, v ktorých by sa vyžadovalo posúdenie vplyvu na ochranu údajov. Posúdenie vplyvu by sa malo vykonávať pred spracovaním a malo by sa vnímať ako živý nástroj, a nielen ako jednorazový úkon. Ak existujú zvyškové riziká, ktoré nemožno zmierniť zavedenými opatreniami, úrad na ochranu údajov musí byť konzultovaný pred začatím spracovania.
Príklady
Posúdenie vplyvu sa vyžaduje
Banka, ktorá robí skríning svojich zákazníkov v úverovej referenčnej databáze; nemocnica, ktorá plánuje zaviesť novú databázu zdravotných informácií so zdravotnými údajmi pacientov; autobusový prevádzkovateľ, ktorý plánuje zaviesť kamery vo vozidle s cieľom monitorovať správanie vodičov a cestujúcich.
Posúdenie vplyvu sa nevyžaduje
Obvodový lekár, ktorý spracúva osobné údaje svojich pacientov. V tomto prípade nie je potrebné posúdenie vplyvu, pretože spracúvanie obvodnými lekármi sa nevykonáva vo veľkom rozsahu v prípadoch, keď je počet pacientov obmedzený.
Odkazy
Examples
DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.
DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.