Η εκπόνηση «εκτίμησης αντικτύπου» σχετικά με την προστασία δεδομένων (ΕΑΠΔ- Data Protection Impact Assessment - DPIA) προβλέπεται στο άρθρο 35 παρ. 1 του GDPR (Νέος Γενικός Κανονισμός Προστασίας Δεδομένων)

Η εκπόνηση της «εκτίμησης αντικτύπου» είναι υποχρεωτική, όταν το είδος της επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο στα δικαιώματα και τις ελευθερίες του προσώπου. Την εκπόνηση της «εκτίμησης αντικτύπου» την διενεργεί ο Υπεύθυνος Επεξεργασίας, πριν από την επεξεργασία, ζητώντας την γνώμη του Υπευθύνου Προστασίας. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την γνώμη του υποκειμένου των δεδομένων για τη σχεδιαζόμενη επεξεργασία. 

Η εκπόνηση «εκτίμησης αντικτύπου» απαιτείται στις περιπτώσεις 

α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών των φυσικών προσώπων, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ.

β)  μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων του άρθρου 9 παρ. 1 (φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία, ή δεδομένα που αφορούν τη σεξουαλική ζωή, ή τον γενετήσιο προσανατολισμό). 

γ) δεδομένων προσωπικού χαρακτήρα, που αφορούν ποινικές καταδίκες και αδικήματα, του άρθρου 10.

δ)  συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

Η εκτίμηση πρέπει περιέχει τουλάχιστον

α)  την συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, των σκοπών της επεξεργασίας, και του έννομου συμφέροντος, που επιδιώκει ο υπεύθυνος επεξεργασίας.

β)  την εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας.

γ)  την εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

δ) τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων. Περιλαμβάνονται οι εγγυήσεις και τα μέτρα και μηχανισμοί ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα.

Όταν μεταβάλλεται ο κίνδυνος, που θέτουν οι πράξεις επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να προβεί σε επανεξέταση για να εκτιμήσει, εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την «εκτίμηση αντικτύπου».

Σύμφωνα με το άρθρο 35 παρ. 4 του GDPR, η Αρχή Προστασίας Δεδομένων κατήρτισε σχέδιο καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ (DPIA). Πριν την έκδοση του εν λόγω καταλόγου ΕΑΠΔ, η Αρχή εφάρμοσε, κατά τα προβλεπόμενα στο άρθρο 35 παρ. 6, το μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 ανακοινώνοντας το σχέδιο καταλόγου στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ).

Ο κατάλογος που υπέβαλε η Αρχή στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, προς έγκριση, προβλέπει ότι απαιτείται η διενέργεια εκτίμησης αντικτύπου, α) στην επεξεργασία βιομετρικών και γενετικών δεδομένων και β) στην  επεξεργασία των προσωπικών δεδομένων για επιστημονικό ή ιστορικό σκοπό.

Το ΕΣΠΔ, κατά τη συνεδρίαση της ολομέλειας της 25ης Σεπτεμβρίου 2018, εξέδωσε, βάσει του άρθρου 64 παρ. 1 του ΓΚΠΔ, τη γνώμη 7/2018 σχετικά με το σχέδιο καταλόγου ΕΑΠΔ της Αρχής. Η Αρχή, με την με αριθμό 65/2018 Απόφασή της, αποφάσισε, σύμφωνα με το άρθρο 64 παρ. 7 του GDPR, την τροποποίηση του καταλόγου ΕΑΠΔ βάσει των συστάσεων της γνώμης 7/2018 του ΕΣΠΔ και την ανακοίνωσή του στο ΕΣΠΔ. Ο κατάλογος ΕΑΠΔ της Αρχής βασίζεται στο άρθρο 35 του GDPR και ιδίως στις παρ. 1 και 3 αυτού καθώς και στις κατευθυντήριες γραμμές για την ΕΑΠΔ (WP248), τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω.

Ο εν λόγω κατάλογος της Αρχής δεν είναι εξαντλητικός και, συνεπώς, δεν αίρεται ούτε μεταβάλλεται η υποχρέωση να διενεργείται ΕΑΠΔ σε κάθε περίπτωση συνδρομής των προϋποθέσεων του άρθρου 35 παρ. 1 του GDPR, ούτε η γενικότερη υποχρέωση του υπευθύνου επεξεργασίας να συμμορφώνεται με το σύνολο των υποχρεώσεων που απορρέουν από το ΓΚΠΔ.

Ο υπεύθυνος επεξεργασίας πρέπει, οποτεδήποτε του ζητηθεί από την Αρχή, να αποδεικνύει την συμμόρφωσή του προς την εκπόνηση εκτίμησης αντικτύπου. Η μη συμμόρφωση οδηγεί στην επιβολή προστίμων από την Αρχή.