Tko je obvezan izraditi
Procjenu učinka je potrebno sukladno članku 35 GPDR provesti na kritičnim područjima obrade osobnih podataka, prije svega kad je riječ o obradi osobnih podataka:
- radi opsežnog profiliranja pojedinaca ili automatiziranog odlučivanja o pojedincima,
- radi donošenja zaključka koji u značajnijoj mjeri utječu ili mogu utjecati na pojedince,
- uporaba novih tehnologija (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.),
- obradi osjetljivih osobnih podataka (npr. zdravstveno stanje) i obradi podataka o djeci,
- koji služe kao pomoć u donošenju odluka o pristupu usluzi ili servisu ili pogodnosti,
- obrada osobnih podataka na način koji uključuje praćenje lokacije ili ponašanja, pojedinca nastalih uporabom telefona, interneta ili drugih komunikacijskih kanala, kao što je GSM, GPS, Wi Fi, praćenje ili obrada podataka o lokaciji,
- obrada biometrijskih ili genetskih podataka,
- obrada osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje (npr. kao što je obrada osobnih podatka za praćenje rada, kretanja, komunikacije),
- obrada osobnih podataka u drugu svrhu od one za koju su prvobitno prikupljeni.
Što uključuje
Procjena učinka na zaštitu podataka koja sadrži barem:
- sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade,
- procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama,
- procjenu rizika za prava i slobode ispitanika,
- mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.