Page contents Page contents Отговор ОВЗД се изисква, когато има вероятност обработването да доведе до висок риск за правата и свободите на физическите лица. ОВЗД се изисква най-малко в следните три случая: системна и обширна оценка на личните аспекти на физическо лице, включително профилиране; обработване на чувствителни данни в голям мащаб; систематично мащабно наблюдение на обществените зони. Националните органи за защита на данните в съгласие с Европейския комитет за защита на личните данни могат да предоставят списъци на случаи, при които може да се изисква ОВЗД. ОВЗД трябва да се извърши преди обработването и трябва да се разглежда като жив инструмент, а не като еднократно действие. Когато съществуват остатъчни рискове, които не могат да бъдат смекчени от въведените мерки, трябва да се направи консултация с ОЗД преди началото на обработването. Примери Изисква се ОВЗДБанка, която проверява клиентите си чрез база данни за кредитна справка; болница, която иска да въведе нова база данни за здравна информация със здравни данни за пациентите; автобусен превозвач, който е на път да монтира камери в автобусите, за да наблюдава поведението на шофьорите и пътниците. Не се изисква ОВЗДОбщински лекар, който обработва лични данни на своите пациенти. В този случай, при условие че броят на пациентите е ограничен, няма нужда от ОВЗД, тъй като обработването от общинските лекари не се прави в голям мащаб. Позовавания Насоки на EDPB относно оценката на въздействието върху защитата на данните (ОВЗД); членове 35, 36; съображения 89– 96 от GDPR. Examples DPIA required A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour. DPIA not required A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited. References EDPB Guidelines on Data Protection Impact Assessment (DPIA) Articles 35 and 36 and Recitals (89) to (96) of the GDPR
