Η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) προβλέπεται στο άρθρο 35 του ΓΚΠΔ. Συγκαταλέγεται μεταξύ των εργαλείων εκπλήρωσης της κατ’ άρθρο 5 παρ. 2 σε συνδυασμό με τα άρθρα 24 παρ. 1 και 32 ΓΚΠΔ αρχής της λογοδοσίας καθώς επιτρέπει στους υπευθύνους επεξεργασίας να συμμορφώνονται με τις απαιτήσεις του ΓΚΠΔ όποτε σχεδιάζεται ή υλοποιείται επεξεργασία δεδομένων με υψηλό κίνδυνο αλλά και να αποδεικνύουν ότι εφαρμόζουν και εν γένει λαμβάνουν τα ενδεδειγμένα μέτρα για τη διασφάλιση της συμμόρφωσης αυτής.
Ειδικότερα, σύμφωνα με το άρθρο 35 παράγραφος 1 του ΓΚΠΔ, η διενέργεια ΕΑΠΔ απαιτείται όταν ένα είδος επεξεργασίας «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων». Συναφώς, οι υπεύθυνοι επεξεργασίας οφείλουν να αξιολογούν σε διαρκή βάση το επίπεδο του κινδύνου των πράξεων επεξεργασίας προκειμένου να εξακριβώνουν αυτές που ενέχουν υψηλό κίνδυνο ώστε να προβούν σε διενέργεια ΕΑΠΔ.
Ο υπεύθυνος επεξεργασίας έχει, επομένως, την υποχρέωση εκτίμησης των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και τον προσδιορισμό των ενδεδειγμένων μέτρων για τη μείωση αυτών σε αποδεκτό επίπεδο προκειμένου για την απόδειξη της συμμόρφωσης προς τον ΓΚΠΔ.
Το σχετικό λογισμικό ανοικτού κώδικα της Γαλλικής Αρχής - CNIL, το οποίο έχει ως στόχο να βοηθήσει τους υπευθύνους επεξεργασίας να διενεργήσουν ΕΑΠΔ, είναι διαθέσιμο και στην ελληνική γλώσσα.
Περισσότερες πληροφορίες για την ΕΑΠΔ είναι διαθέσιμες εδώ.
Σε περίπτωση που η μελέτη ΕΑΠΔ καταδεικνύει ότι οι υπολειπόμενοι κίνδυνοι παραμένουν υψηλοί, ο υπεύθυνος επεξεργασίας οφείλει να ζητήσει τη γνώμη της Αρχής, σύμφωνα με τα προβλεπόμενα στο άρθρο 36 του ΓΚΠΔ. Συνεπώς, απαιτείται προηγούμενη διαβούλευση με την Αρχή όποτε ο υπεύθυνος επεξεργασίας δεν μπορεί να βρει επαρκή μέτρα για τη μείωση των κινδύνων σε αποδεκτό επίπεδο.
Περισσότερες πληροφορίες για την υποβολή αιτήματος προηγούμενης διαβούλευσης στην Αρχή είναι διαθέσιμες εδώ.