Статья 35
действуетVerwerkingsverantwoordelijke en verwerker
1. Если вид обработки, в частности обработка с использованием новых технологий, с учетом характера, объема, контекста и целей такой обработки, вероятно, влечет за собой высокий риск для прав и свобод физических лиц, контролер до начала обработки проводит оценку воздействия планируемых операций по обработке на защиту персональных данных. Одна оценка может охватывать ряд схожих операций по обработке, которые влекут за собой схожие высокие риски.
2. В случае назначения сотрудника по защите данных контролер при проведении оценки воздействия на защиту данных запрашивает его заключение.
3. Оценка воздействия на защиту данных, как указано в части 1, требуется, в частности, в следующих случаях:
а) систематическая и всесторонняя оценка личных аспектов физических лиц, основанная на автоматизированной обработке, включая профилирование, на которой основываются решения, влекущие за собой правовые последствия для физического лица или иным аналогичным образом существенно затрагивающие физическое лицо;
b) масштабная обработка особых категорий персональных данных, как указано в статье 9, часть 1, или данных, касающихся уголовных приговоров и уголовных правонарушений, как указано в статье 10; или
c) систематический и масштабный мониторинг общедоступных мест.
4. Надзорный орган составляет и публикует перечень видов обработки, для которых оценка воздействия на защиту данных является обязательной в соответствии с пунктом 1. Надзорный орган уведомляет о данных перечнях Комитет, указанный в статье 68.
5. Надзорный орган может также составить и опубликовать перечень видов обработки, для которых не требуется проведение оценки воздействия на защиту данных. Надзорный орган уведомляет Комитет о данном перечне.
6. В случаях, когда указанные в частях 4 и 5 перечни касаются обработки данных, связанной с предложением товаров или услуг субъектам данных или с наблюдением за их поведением в различных государствах-членах, либо обработки данных, которая может существенно повлиять на свободное перемещение персональных данных в Союзе, компетентный надзорный орган до утверждения таких перечней применяет механизм обеспечения согласованности, предусмотренный в статье 63.
7. Оценка содержит как минимум:
а) систематическое описание предполагаемых операций по обработке и целей обработки, включая, в соответствующих случаях, законные интересы, преследуемые контролером;
b) оценка необходимости и соразмерности обработки данных в отношении целей такой обработки;
c) оценка рисков для прав и свобод заинтересованных лиц, указанных в части 1; и
d) предусмотренные меры по устранению рисков, включая гарантии, меры безопасности и механизмы, обеспечивающие защиту персональных данных и подтверждающие соблюдение настоящего Регламента, с учетом прав и законных интересов субъектов данных и иных затрагиваемых лиц.
8. При оценке последствий операций по обработке, осуществляемых контролером или обработчиком, и, в частности, в целях оценки воздействия на защиту данных, надлежащим образом учитывается соблюдение утвержденных кодексов поведения, указанных в статье 40.
9. Контролер в соответствующих случаях запрашивает мнение субъектов данных или их представителей относительно планируемой обработки, соблюдая при этом защиту коммерческих или общих интересов либо безопасность обработки.
10. Если обработка на основании статьи 6, пункта 1, подпунктов c) или e) имеет своим правовым основанием право Союза или право государства-члена, применимое к контролеру, если конкретная обработка или совокупность операций по обработке, о которых идет речь, регулируются этим правом, и если в рамках принятия данного правового основания в составе общей оценки воздействия уже была проведена оценка воздействия на защиту данных, то пункты 1–7 не применяются, за исключением случаев, когда государства-члены сочтут необходимым проведение такой оценки до начала обработки.
При необходимости контролер осуществляет проверку с целью оценки того, осуществляется ли обработка в соответствии с оценкой воздействия на защиту данных, в частности, когда происходит изменение риска, связанного с операциями по обработке.
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.
2. Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.
3. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:
a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of
c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
4. De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde Comité.
5. De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen gegevensbeschermingseffectbeoordeling is vereist. De toezichthoudende autoriteit deelt deze lijst mee aan het Comité.
6. Wanneer de in de leden 4 en 5 bedoelde lijsten betrekking hebben op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen of op het observeren van hun gedrag in verschillende lidstaten, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de bevoegde toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten het in artikel 63 bedoelde coherentiemechanisme toe.
7. De beoordeling bevat ten minste:
a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
c) een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen; en
d) de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
8. Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.
9. De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van commerciële of algemene belangen of de beveiliging van verwerkingen.
10. Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c) of e), haar rechtsgrond heeft in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is, de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt geregeld, en er reeds als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 7 niet van toepassing, tenzij de lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.
11. Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.