Σύμφωνα με τον Eυρωπαϊκό Kανονισμό για την Προστασία των Δεδομένων, απαιτούνται εκτιμήσεις αντικτύπου για την προστασία των δεδομένων όταν η επεξεργασία των δεδομένων είναι «ικανή να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων». Ακριβώς αυτό που εννοείται ως «υψηλού κινδύνου», ωστόσο, είναι δύσκολο να προσδιοριστεί. Το άρθρο 35,3 του ΓΚΠΔ παρέχει έναν κατάλογο παραδειγμάτων δραστηριοτήτων επεξεργασίας δεδομένων που απαιτούν DPIAs. Οι κατευθυντήριες γραμμές της ομάδας εργασίας του Άρθρου 29 για τις DPIA (DATA PROTECTION IMPACT ASSSESSMENTS) προσφέρουν επίσης βοήθεια στον εντοπισμό του πότε μια DPIA είναι απαραίτητη.
Ειδικότερα, οι κατευθυντήριες γραμμές παρέχουν εννέα κριτήρια, καθένα από τα οποία, όταν πληρείται, καθιστά πιο πιθανό ότι η επεξεργασία θα παρουσιάζει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και απαιτεί DPIA.
Αυτά τα εννέα κριτήρια περιλαμβάνουν: αξιολόγηση ή βαθμολόγηση, όπως η καταγραφή μιας συμπεριφοράς ή το σχεδιάγραμμα μάρκετινγκ ενός χρήστη ιστοχώρου αυτοματοποιημένη-λήψη αποφάσεων, η οποία μπορεί να οδηγήσει σε αποκλεισμό ή διακρίσεις, συστηματική παρακολούθηση, ευαίσθητα δεδομένα ή δεδομένα υψηλής προσωπικής φύσεως, όπως ιατρικά αρχεία , τα δεδομένα που υποβάλλονται σε επεξεργασία σε μεγάλη κλίμακα, ταίριασμα ή συνδυασμός δεδομένων , στοιχεία σχετικά με ευπαθή θέματα, όπως τα παιδιά, οι εργαζόμενοι ή οι ηλικιωμένοι , καινοτόμο χρήση ή εφαρμογή τεχνολογικών ή οργανωτικών λύσεων, όπως η χρήση δακτυλικών αποτυπωμάτων ή η αναγνώριση προσώπου για φυσικό έλεγχο πρόσβασης , και όταν η επεξεργασία από μόνη της «αποτρέπει τα υποκείμενα των δεδομένων από την άσκηση ενός δικαιώματος ή να χρησιμοποιήσουν μια υπηρεσία ή μια σύμβαση.»
Επιμέλεια : Eύη Ντούσια
Αρχική πηγή: https://iapp.org/news/a/whats-subject-to-a-dpia-under-the-gdpr-edpb-on-draft-lists-of-22-supervisory-authorities/