Page contents Page contents Odgovor Ocena učinka v zvezi z varstvom podatkov se zahteva, ko je verjetno, da bi obdelava lahko povzročila veliko tveganje za pravice in svoboščine posameznikov. Zahteva se najmanj v naslednjih treh primerih: pri sistematičnem in obsežnem vrednotenju osebnih vidikov v zvezi s posamezniki, vključno z oblikovanjem profila; pri obsežni obdelavi občutljivih podatkov; pri obsežnem sistematičnem nadzoru javnih območij. Nacionalni organi za varstvo podatkov lahko skupaj z Evropskim odborom za varstvo podatkov zagotovijo sezname primerov, v katerih je treba opraviti oceno učinka v zvezi z varstvom podatkov. Oceno učinka je treba opraviti pred obdelavo, velja pa za uporabno orodje, namenjeno nenehni uporabi, in ne zgolj za enkratno dejanje. V primeru preostalih tveganj, ki jih ni mogoče ublažiti z obstoječimi ukrepi, se je treba pred začetkom obdelave posvetovati z organom za varstvo podatkov. Primera Ocena učinka v zvezi z varstvom podatkov se zahtevaBanka preverja podatke o svojih komitentih v zbirki bonitetnih podatkov; bolnišnica namerava uvesti novo zbirko podatkov, ki bo vključevala informacije o zdravstvenem stanju pacientov; avtobusni prevoznik namerava uvesti kamere v avtobusih za nadzor vedenja voznikov in potnikov. Ocena učinka v zvezi z varstvom podatkov se ne zahtevaOsebni/Domači zdravnik obdeluje osebne podatke svojih pacientov. V tem primeru ocena učinka v zvezi z varstvom podatkov ni potrebna, saj obdelava podatkov, ki jo izvajajo osebni zdravniki, ni obsežna, če je število pacientov omejeno. Reference Smernice Evropskega odbora za varstvo podatkov o oceni varstva podatkov (DPIA) Členi 35, 36; uvodne izjave 89, 90, 91, 92, 93, 94, 95, 96 Splošne uredbe o varstvu podatkov Examples DPIA required A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour. DPIA not required A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited. References EDPB Guidelines on Data Protection Impact Assessment (DPIA) Articles 35 and 36 and Recitals (89) to (96) of the GDPR
