Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.

GDPR article 35

Data Protection Impact Assessment is a process to help you identify and minimize the data protection risks of a project.

ICO

Tentang DPIA

• Berdasarkan GDPR, DPIA merupakan ketentuan baru yang merupakan implementasi dari prinsip “protection by design“.
• Di dalam UU PDP, tidak disebutkan mengenai DPIA ataupun pengertiannya.

Dari kedua definisi di atas, dapat disimpulkan bahwa yang dimaksud dengan DPIA yaitu mekanisme untuk mengukur tingkat keamanan dan resiko sebuah proposal baru yang berimplikasi dalam merubah bisnis proses sehingga dapat mempengaruhi tingkat Pelindungan Data Pribadi. DPIA ini dilakukan dan dipimpin oleh Data Controller dan PPDP atau Data Protection Officer dalam penerapannya.