Verplicht
Een DPIA is alleen verplicht als een gegevensverwerking in alle waarschijnlijkheid een hoog risico oplevert voor de betrokkenen. Dat is in ieder geval zo wanneer een organisatie:
- systematisch en uitvoerig persoonlijke aspecten evalueert (waaronder profilering);
- op grote schaal bijzondere persoonsgegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (denk aan cameratoezicht).
Het risico van de gegevensverwerking
Het Europees Comité voor Gegevensbescherming (ECG) heeft richtlijnen opgesteld om een inschatting te maken van de risico’s van een gegevensverwerking. Naar aanleiding hiervan kan worden geconcludeerd of een DPIA verplicht is. Voor deze beoordeling zijn negen criteria opgesteld. Indien aan twee van deze criteria is voldaan, kan worden geconcludeerd dat het nodig is om een DPIA uit te voeren. Deze criteria zijn als volgt: ingeval van evaluatie van scores (1); geautomatiseerde besluitvorming met een juridisch of vergelijkbaar significant effect (2); systematisch monitoren (3); gevoelige persoonsgegevens of informatie (4); verwerking van persoonsgegevens op grote schaal (5); sets van gegevens die worden gekoppeld en gecombineerd (6); gegevens van kwetsbare betrokkenen (7); innovatief gebruik van de persoonsgegevens of het toepassen van technologische of organisatorische oplossingen op de persoonsgegevens (8); de verwerking verhindert de betrokkene van het uitoefenen van een recht of het gebruikt van een dienst of een overeenkomst (9).
Noodzakelijkheid en proportionaliteit van de gegevensverwerking
Indien de wetgeving vereist dat een organisatie een DPIA uitvoert, zal de verwerker de noodzakelijkheid en proportionaliteit van het verwerken van persoonsgegevens moeten nagaan en de mogelijke risico’s van deze verwerking moeten identificeren. Tevens dienen in de DPIA ook de veiligheidsmaatregelen die zullen worden genomen om de risico’s zo klein mogelijk te maken neergelegd te worden.