O EIPD este necesară ori de câte ori prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice. Este necesară o EIPD cel puțin în următoarele cazuri:
- o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică, inclusiv crearea de profiluri
- prelucrarea pe scară largă a unor date sensibile
- monitorizarea sistematică pe scară largă a unor zone accesibile publicului
Autoritățile naționale de protecție a datelor, acționând în coordonare cu Comitetul european pentru protecția datelor, pot furniza liste cu situațiile în care ar fi necesară o EIPD. EIPD ar trebui efectuată înainte de prelucrare și ar trebui considerată un instrument viu, nu doar un exercițiu izolat. În cazul în care există riscuri reziduale care nu pot fi atenuate prin măsurile puse în aplicare, este necesară consultarea APD înainte de începerea prelucrării.
Exemple
Este necesară EIPD
O bancă își selectează clienții dintr-o bază de date cu informații privind creditele; un spital este pe punctul să implementeze o nouă bază de date cu informații despre sănătate, care conține date privind sănătatea pacienților; un operator de autobuz urmează să instaleze camere la bord pentru a monitoriza comportamentul șoferilor și al călătorilor.
Nu este necesară o EIPD
Medicul unei comunități prelucrează date cu caracter personal ale pacienților săi. În acest caz nu este necesară o EIPD, deoarece prelucrarea de către medicul comunității nu se face la scară largă în cazurile în care numărul de pacienți este limitat.
Referințe
- Orientările Grupului de lucru al articolului 29 privind evaluarea impactului asupra protecției datelor (EIPD) și determinarea susceptibilității ca prelucrarea „să genereze un risc ridicat” în sensul Regulamentului (UE) 2016/679, 4 aprilie 2017
- Articolele 35 și 36 și considerentele (89)-(96) ale GDPR