Gegevensbeschermingseffectbeoordeling
Een formele beoordeling die vereist is vóór verwerkingsactiviteiten die waarschijnlijk een hoog risico vormen voor de rechten en vrijheden van individuen.
Een gegevensbeschermingseffectbeoordeling (DPIA) is een proces dat vereist is onder Artikel 35 van de GDPR om de risico's van voorgenomen gegevensverwerkingsactiviteiten die waarschijnlijk een hoog risico vormen voor de rechten en vrijheden van individuen te evalueren en te beperken. Een DPIA is verplicht wanneer de verwerking systematische en uitgebreide profilering met significante gevolgen omvat, grootschalige verwerking van gevoelige gegevens, of grootschalige systematische monitoring van openbaar toegankelijke gebieden (zoals CCTV). Toezichthoudende autoriteiten kunnen ook lijsten publiceren van aanvullende verwerkingshandelingen waarvoor DPIA's vereist zijn.
Een DPIA moet een systematische beschrijving van de verwerkingshandelingen en hun doelen bevatten, een beoordeling van de noodzaak en evenredigheid van de verwerking in relatie tot de doelen, een evaluatie van de risico's voor de rechten en vrijheden van betrokkenen, en de maatregelen die worden gepland om deze risico's aan te pakken. Het advies van de FG moet worden ingewonnen tijdens het DPIA-proces. Als de beoordeling aantoont dat de verwerking zou resulteren in een hoog risico dat niet kan worden beperkt, moet de organisatie de toezichthoudende autoriteit raadplegen voordat zij verder gaat. DPIA's moeten worden herzien en bijgewerkt wanneer verwerkingshandelingen veranderen.