Als verantwoordelijke moet u ervoor zorgen dat er een data protection impact assessment (DPIA) wordt uitgevoerd. U moet hierbij, wanneer van toepassing, aan verschillende partijen advies vragen. U hoeft de DPIA niet zelf uit te voeren, dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen. U blijft wel eindverantwoordelijk.
Is er in uw organisatie een functionaris voor de gegevensbescherming (FG) aangewezen? Dan moet u de FG om advies vragen. U moet in het rapport over de DPIA opnemen wat de FG heeft geadviseerd en wat u daarmee heeft gedaan. De FG heeft ook als taak de uitvoering van de DPIA in de gaten te houden.
Voert een verwerker in opdracht van u de gegevensverwerking uit? Dan moet de bewerker u ondersteunen bij het uitvoeren van de DPIA en de informatie verstrekken die u nodig heeft.
U moet als het nodig is de betrokkenen (de mensen van wie u gegevens wil verwerken) of hun vertegenwoordigers om hun mening vragen.
Er zijn, afhankelijk van uw specifieke situatie, verschillende geschikte manieren waarop u betrokkenen om hun mening kunt vragen. U kunt bijvoorbeeld een intern of extern onderzoek doen, consumenten- of werknemersorganisaties consulteren of uw toekomstige klanten een vragenlijst sturen.
Wijkt uw uiteindelijke beslissing af van de mening van de betrokkenen? Dan moet u uw redenen om al dan niet met de verwerking door te gaan documenteren. U moet ook uw argumentatie documenteren als u oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.
Tot slot is het aan te raden om vast te stellen en te documenteren welke andere partijen in uw specifieke situatie betrokken kunnen worden bij een DPIA en wat hun verantwoordelijkheden dan zijn. Bijvoorbeeld de IT-afdeling, andere afdelingen en onafhankelijke experts (zoals advocaten, technici, beveiligingsexperts, sociologen etc.).
