Законодавство Нідерландів

Стаття 35

чинна

Verwerkingsverantwoordelijke en verwerker

Загальний регламент захисту даних (GDPR) · Глава 4 · Редакція діє з None

Оригінал

1. Якщо певний вид обробки, зокрема обробка із застосуванням нових технологій, з огляду на його характер, обсяг, контекст та цілі, ймовірно, створює високий ризик для прав і свобод фізичних осіб, контролер перед початком обробки проводить оцінку впливу запланованих операцій з обробки на захист персональних даних. Одна оцінка може охоплювати низку подібних операцій з обробки, що створюють подібні високі ризики.

2. У разі призначення інспектора з захисту даних, контролер під час проведення оцінки впливу на захист даних враховує його поради.

3. Оцінка впливу на захист даних, як зазначено в частині 1, є обов’язковою, зокрема, у таких випадках:

а) систематична та всебічна оцінка особистих аспектів фізичних осіб, яка ґрунтується на автоматизованій обробці, включаючи профілювання, і на якій базуються рішення, що тягнуть за собою правові наслідки для фізичної особи або іншим подібним чином істотно впливають на фізичну особу;

b) масштабне оброблення особливих категорій персональних даних, як це передбачено статтею 9, частиною 1, або даних, що стосуються кримінальних засуджень та кримінальних правопорушень, як це передбачено статтею 10; або

c) систематичний та масштабний моніторинг місць, відкритих для публічного доступу.

4. Наглядовий орган складає та оприлюднює перелік видів операцій з обробки даних, для яких оцінка впливу на захист даних є обов’язковою відповідно до частини 1. Наглядовий орган повідомляє про ці переліки Комітет, зазначений у статті 68.

5. Наглядовий орган може також скласти та оприлюднити перелік видів обробки, для яких не вимагається проведення оцінки впливу на захист даних. Наглядовий орган повідомляє цей перелік Комітету.

6. Якщо переліки, зазначені у частинах 4 та 5, стосуються обробки даних, пов’язаної із пропонуванням товарів або послуг суб’єктам даних чи спостереженням за їхньою поведінкою у різних державах-членах, або обробки даних, яка може суттєво вплинути на вільний рух персональних даних у Союзі, компетентний наглядовий орган перед затвердженням таких переліків застосовує механізм узгодженості, зазначений у статті 63.

7. Оцінка містить принаймні:

а) систематичний опис запланованих операцій з обробки та цілей обробки, включаючи, у відповідних випадках, законні інтереси, які переслідуються контролером даних;

b) оцінка необхідності та пропорційності обробки даних стосовно визначених цілей;

c) оцінка ризиків для прав і свобод суб'єктів даних, зазначених у частині 1; та

d) передбачувані заходи для усунення ризиків, включаючи гарантії, заходи безпеки та механізми, спрямовані на забезпечення захисту персональних даних та на підтвердження дотримання цього Регламенту, з урахуванням прав та законних інтересів суб’єктів даних та інших відповідних осіб.

8. Під час оцінювання впливу операцій з обробки, що здійснюються контролером або процесором, і, зокрема, для цілей оцінки впливу на захист даних, належним чином береться до уваги дотримання схвалених кодексів поведінки, зазначених у статті 40.

9. Контролер у відповідних випадках запитує суб’єктів даних або їхніх представників щодо їхньої думки стосовно запланованої обробки, з дотриманням захисту комерційних або загальних інтересів чи безпеки обробки.

10. Якщо обробка на підставі пункту 1, підпункту c) або e) статті 6 має свою правову підставу в праві Союзу або в праві держави-члена, яке застосовується до контролера, при цьому регулюється конкретна обробка або сукупність операцій з обробки, що розглядаються, і в межах загальної оцінки впливу під час встановлення цієї правової підстави вже було проведено оцінку впливу на захист даних, то положення пунктів 1–7 не застосовуються, якщо держави-члени не вважають за необхідне проведення такої оцінки до початку здійснення операцій з обробки.

11. За необхідності контролер здійснює перевірку з метою оцінки того, чи здійснюється обробка відповідно до оцінки впливу на захист даних, принаймні у разі зміни ризику, який несуть операції з обробки.

1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.

2. Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.

3. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:

a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of

c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

4. De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde Comité.

5. De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen gegevensbeschermingseffectbeoordeling is vereist. De toezichthoudende autoriteit deelt deze lijst mee aan het Comité.

6. Wanneer de in de leden 4 en 5 bedoelde lijsten betrekking hebben op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen of op het observeren van hun gedrag in verschillende lidstaten, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de bevoegde toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten het in artikel 63 bedoelde coherentiemechanisme toe.

7. De beoordeling bevat ten minste:

a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;

b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;

c) een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen; en

d) de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

8. Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.

9. De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van commerciële of algemene belangen of de beveiliging van verwerkingen.

10. Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c) of e), haar rechtsgrond heeft in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is, de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt geregeld, en er reeds als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 7 niet van toepassing, tenzij de lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.

11. Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.