24. mail 2016. aastal jõustunud Euroopa Liidu andmekaitsemäärus on liikmeriikidele otsekohalduv.
Andmekaitsemääruse artikkel 35 kohustab andmetöötlejaid viima enne isikuandmete töötlemise alustamist läbi andmekaitsealase mõjuhinnangu.
Mõjuhinnangu eesmärgiks on tuvastada, kas ettevõtte tegevusega kaasnev isikuandmete töötlemine on kõrge riskiga.
Andmekaitsealase mõjuhinnangu tegemine on eelkõige nõutav alljärgnevatel juhtudel:a) füüsiliste isikute andmete süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel või profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;
b) eriliiki andmete (nt terviseandmed, isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, poliitilised vaated, usulised veendumused, isikuandmed, millest ilmneb inimese rassiline või etniline päritolu) või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslikul töötlemisel;
c) avalike alade ulatuslik süstemaatilisel jälgimisel.
Samuti tuleb mõjuhinnang koostada ka siis, kui andmetöötleja hakkab kasutama (uut) tehnoloogiat, millega tal varem kokkupuudet pole olnud (nt arendustegevus). See annab ettevõttele teadmise, kas arendustegevusega kaasnev võib võrreldes senisega kujutada üksikisikutele kõrge riskiga eraelulist riivet. Selle teadmise baasilt teha otsuse, kas tema käsutuses olevate vahendite, teadmiste ja oskustega on seda riivet võimalik piisavalt maandada.
Andmekaitsealane mõjuhinnang tuleb kirjalikult vormistada.
Vaata ka: