Page contents Page contents Vastus Andmekaitsealane mõjuhinnang tuleb teha alati, kui töötlemise tagajärjel tekib tõenäoliselt suur oht füüsiliste isikute õigustele ja vabadustele. Andmekaitsealane mõjuhinnang on nõutav vähemalt järgmisel kolmel juhul: isiklike aspektide süstemaatilise ja ulatusliku hindamise korral, sealhulgas profiilianalüüsi kasutamisel; tundlike andmete ulatusliku töötlemise korral; avalike alade ulatusliku süstemaatilise jälgimise korral. Riiklik andmekaitseasutus võib Euroopa Andmekaitsenõukoguga konsulteerides koostada loetelu juhtudest, mille korral on vaja teha andmekaitsealane mõjuhinnang. Andmekaitsealane mõjuhinnang tuleks teha enne töötlemist ja seda tuleks käsitada areneva vahendina, mitte ühekordse ülesandena. Kui leidub jääkriske, mida ei saa rakendatud meetmetega leevendada, tuleb enne töötlema asumist konsulteerida andmekaitseasutusega. Näited Andmekaitsealane mõjuhinnang on nõutavKui pank kontrollib oma kliente krediidiriski võrdlusandmebaasist, haigla kavatseb kasutusele võtta patsientide terviseandmeid sisaldava uue terviseteabe andmebaasi, bussiettevõtja kavatseb hakata kasutama bussi paigaldatavaid valvekaameraid juhtide ja reisijate käitumise jälgimiseks. Andmekaitsealane mõjuhinnang ei ole nõutavKui perearst töötleb oma patsientide isikuandmeid. Sellisel juhul ei ole andmekaitsealast mõjuhinnangut vaja, sest perearstide patsientide arv on piiratud ja nad ei töötle andmeid ulatuslikult. Viited Euroopa Andmekaitsenõukogu suunised andmekaitsealase mõjuhinnangu kohta. Artiklid 35 ja 36; põhjendused 89, 90, 91, 92, 93, 94, 95 ja 96. Examples DPIA required A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour. DPIA not required A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited. References EDPB Guidelines on Data Protection Impact Assessment (DPIA) Articles 35 and 36 and Recitals (89) to (96) of the GDPR
