Inhaltsanforderungen
Klausel 64(3) DPA legt die inhaltlichen Anforderungen für DSFAs fest. Dementsprechend muss ein DSFA die folgenden Informationen enthalten:
- allgemeine Beschreibung der vorgesehenen Verarbeitungsvorgänge,
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen,
- Maßnahmen zur Bewältigung dieser Risiken,
- Schutzmaßnahmen, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung dieses Teils unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderen betroffenen Personen.
DSFA Liste für britische Aufsichtsbehörde
ICO hat eine Liste veröffentlicht, in der die Beispiele für Verarbeitungsaktivitäten aufgeführt sind, die wahrscheinlich zu einem hohen Risiko führen. Die Liste enthält unter anderem die folgenden Verarbeitungsvorgänge:
- Künstliche Intelligenz, maschinelles Lernen
- Autonome Fahrzeuge
- Intelligente Technologien einschließlich Wearables
- Kreditprüfungen
- Hypotheken- oder Versicherungsanträge
- Hardware oder Software für die Überwachung von Fitness oder Lebensstil
Die vollständige Liste finden Sie unter: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/examples-of-processing-likely-to-result-in-high-risk/.
Vorherige Absprache
Gemäß Klausel 65 der DPA, wo der DSFA ein hohes Risiko anzeigt, ist eine vorherige Absprache mit der ICO erforderlich. ICO kann (schriftlich) innerhalb von 6 Wochen nach Erhalt der Anfrage (um weitere 4 Wochen verlängerbar) über die weitere Bearbeitung informieren.
