Cine are obligaţia să efectueze o evaluare a impactului asupra protecţiei datelor?

Din conţinutul art. 35 alin. (2) GDPR, rezultă că operatorul este responsabil pentru realizarea unei evaluări a impactului asupra protecţiei datelor. De asemenea, potrivit acestui alineat, operatorul trebuie să solicite avizul DPO, în cazul în care acesta este desmnat. Reţinem faptul că acest aviz, precum şi deciziile luate de operator, ar trebui să fie documentate.
În sfârşit, se cuvine subliniat că, în conformitate cu cu art, 28 alin. (3) litera f) GDPR, dacă prelucrarea este efectuată parţial sau în totalitate de persoana împuternicită de operator, aceasta va ajuta operatorul la realizarea evaluării impactului asupra protecţiei datelor.