Definícia
Podľa metodiky:
"A DPIA may concern a single data processing operation.
However, Article 35(1) states that “a single
assessment may address a set of similar processing operations that present similar high risks”.
Recital
92 adds that “there are circumstances under which it may be reasonable and economical for the
subject of a data protection impact assessment to be broader than a single project, for example where
public authorities or bodies intend to establish a common application or processing platform or where
several controllers plan to introduce a common application or processing environment across an
industry sector or segment or for a widely used horizontal activity”.
This means that a single DPIA could be used to assess multiple processing operations that are similar
in terms of the risks presented, provided adequate consideration is given to the specific nature, scope,
context and purposes of the processing.
This might mean where similar technology is used to collect
the same sort of data for the same purposes.
For example, a group of municipal authorities that are
each setting up a similar CCTV system could carry out a single DPIA covering the processing by these
separate controllers, or a railway operator (single controller) could cover video surveillance in all its
train stations with one DPIA.
When the processing operation involves joint controllers, they need to define their respective
obligations precisely. Their DPIA should set out which party is responsible for the various measures
designed to treat risks and to protect the rights of the data subjects.
A DPIA can also be useful for assessing the data protection impact of a technology product, for
example a piece of hardware or software, where this is likely to be used by different data controllers to
carry out different processing operations. Of course, the data controller deploying the product remains
obliged to carry out its own DPIA with regard to the specific implementation, but this can be informed
by a DPIA prepared by the product provider, if appropriate. An example could be the relationship
between manufacturers of smart meters and utility companies.
Doplnkové informácie:
DPIA sa môže týkať jednej operácie spracovania údajov.
V článku 35 ods. 1 sa však uvádza, že „pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie.“
V odôvodnení 92 sa dopĺňa, že „existujú okolnosti, za ktorých môže byť vhodné a hospodárne, aby sa predmet posúdenia vplyvu na ochranu údajov nevzťahoval len na jeden projekt, ale bol širší, napríklad ak orgány verejnej moci alebo verejnoprávne subjekty zamýšľajú vytvoriť spoločnú aplikáciu či spracovateľskú platformu alebo ak niekoľko prevádzkovateľov zamýšľa zaviesť spoločnú aplikáciu či spracovateľské prostredie v rámci odvetvia alebo segmentu priemyslu alebo na široko rozvetvenú horizontálnu činnosť.“
Znamená to, že jedno DPIA môže byť použité na posúdenie viacerých spracovateľských operácií, ktoré sú podobné z hľadiska rizika, ktoré predstavujú, za predpokladu, že sa primerane zohľadní osobitná povaha, rozsah, kontext a účely spracovania.
Môže to zahŕňať prípady, keď sa podobná technológia používa na zber toho istého druhu údajov na tie isté účely.
Napríklad skupina obecných orgánov, z ktorých si každý zriaďuje podobný kamerový systém (CCTV) môže vykonať jedno DPIA, ktorým sa pokryje spracovanie u týchto samostatných prevádzkovateľov, alebo železničná spoločnosť (jeden prevádzkovateľ) môže takto pokryť monitorovanie.
