Page contents Page contents Răspuns O EIPD este necesară ori de câte ori prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice. Este necesară o EIPD cel puțin în următoarele cazuri: o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică, inclusiv crearea de profiluri; prelucrarea pe scară largă a unor date sensibile; monitorizarea sistematică pe scară largă a unor zone accesibile publicului. Autoritățile naționale de protecție a datelor, acționând în coordonare cu Comitetul european pentru protecția datelor, pot furniza liste cu situațiile în care ar fi necesară o EIPD. EIPD ar trebui efectuată înainte de prelucrare și ar trebui considerată un instrument viu, nu doar un exercițiu izolat. În cazul în care există riscuri reziduale care nu pot fi atenuate prin măsurile puse în aplicare, este necesară consultarea APD înainte de începerea prelucrării. Exemple Este necesară EIPDO bancă își selectează clienții dintr-o bază de date cu informații privind creditele; un spital este pe punctul să implementeze o nouă bază de date cu informații despre sănătate, care conține date privind sănătatea pacienților; un operator de autobuz urmează să instaleze camere la bord pentru a monitoriza comportamentul șoferilor și al călătorilor. Nu este necesară o EIPDMedicul unei comunități prelucrează date cu caracter personal ale pacienților săi. În acest caz nu este necesară o EIPD, deoarece prelucrarea de către medicul comunității nu se face la scară largă în cazurile în care numărul de pacienți este limitat. Referințe Orientările CEPD privind evaluarea impactului asupra protecției datelor (EPID) Articolele 35, 36; motivele 89, 90, 91, 92, 93, 94, 95, 96 din RGPD Examples DPIA required A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour. DPIA not required A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited. References EDPB Guidelines on Data Protection Impact Assessment (DPIA) Articles 35 and 36 and Recitals (89) to (96) of the GDPR
