Ocena skutków dla ochrony danych (DPIA)

O ile ocena ryzyka pozwalała po prostu sprawdzić, jaki jest poziom ryzyka u administratora, to ocenę skutków dla ochrony danych (Data Protection Impact Assessment – w skrócie „DPIA”) należy przeprowadzić wtedy, gdy dany rodzaj przetwarzania danych osobowych – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Innymi słowy – nie sposób przeprowadzić poprawnie DPIA bez uprzedniej oceny ryzyka. Jednocześnie wynik oceny ryzyka może zobowiązywać administratora do dokonania DPIA. Proces przeprowadzenia DPIA bywa często tak samo – lub nawet bardziej – skomplikowany niż ogólna ocena ryzyka. Dlatego ponownie zaleca się kontakt ze specjalistą celem przeprowadzenia oceny skutków dla ochrony danych.