Законодавство Нідерландів

Стаття 36

чинна

Контролер та процесор

Загальний регламент захисту даних (GDPR) · Глава 4 · Редакція діє з None

Оригінал

1. Якщо з оцінки впливу на захист даних відповідно до статті 35 випливає, що обробка призвела б до високого ризику, якби контролер не вжив заходів для обмеження цього ризику, контролер консультується з наглядовим органом до початку обробки.

2. Якщо наглядовий орган вважає, що передбачувана обробка, зазначена в частині 1, порушуватиме цей Регламент, зокрема, якщо контролер недостатньо оцінив або обмежив ризик, наглядовий орган протягом максимального строку у вісім тижнів після отримання заяви про надання консультації надає письмовий висновок контролеру та, у відповідних випадках, процесору, і може здійснювати всі свої повноваження, зазначені у статті 58. Цей строк може бути продовжений на шість тижнів залежно від складності передбачуваної обробки. У разі такого продовження наглядовий орган повідомляє контролера та, у відповідних випадках, процесора протягом одного місяця після отримання заяви про надання консультації, зокрема, про причини затримки. Ці строки можуть бути зупинені до моменту отримання наглядовим органом інформації, яку він запитав з метою надання консультації.

3. Коли контролер консультується з наглядовим органом відповідно до пункту 1, він надає йому інформацію щодо:

а) якщо це застосовно, відповідні обов’язки контролера, спільних контролерів, залучених до обробки, та процесорів, зокрема щодо обробки в межах групи підприємств;

b) цілі та засоби запланованої обробки;

c) заходи та гарантії, що надаються для захисту прав і свобод суб’єктів даних відповідно до цього Регламенту;

d) якщо застосовно, контактні дані особи, відповідальної за захист даних;

e) оцінка впливу на захист даних, передбачена статтею 35; та

f) будь-яка інша інформація, яку запитує наглядовий орган.

4. Держави-члени консультуються з наглядовим органом під час підготовки пропозиції щодо законодавчого заходу, який має бути ухвалений національним парламентом, або регуляторного заходу, що ґрунтується на такому законодавчому акті, у зв'язку з обробкою даних.

5. Незважаючи на положення частини 1, на контролерів може бути покладено обов’язок згідно з правом держави-члена проводити консультації з наглядовим органом та запитувати його попередній дозвіл у разі здійснення обробки з метою виконання завдання, що становить суспільний інтерес, зокрема, коли обробка пов’язана із соціальним захистом та охороною здоров’я населення.

1. Wanneer uit een gegevensbeschermingseffectbeoordeling krachtens artikel 35 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit.

2. Wanneer de toezichthoudende autoriteit van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft de toezichthoudende autoriteit binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en mag zij al haar in artikel 58 bedoelde bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met zes weken worden verlengd. Bij een dergelijke verlenging stelt de toezichthoudende autoriteit de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van onder meer de redenen voor de vertraging. Die termijnen kunnen worden opgeschort totdat de toezichthoudende autoriteit informatie heeft verkregen waarom zij met het oog op de raadpleging heeft verzocht.

3. Wanneer de verwerkingsverantwoordelijke de toezichthoudende autoriteit uit hoofde van lid 1 raadpleegt, verstrekt hij haar informatie over:

a) indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, bij de verwerking betrokken gezamenlijke verwerkingsverantwoordelijken en verwerkers, in het bijzonder voor verwerking binnen een concern;

b) de doeleinden en de middelen van de voorgenomen verwerking;

c) de maatregelen en waarborgen die worden geboden ter bescherming van de rechten en vrijheden van betrokkenen uit hoofde van deze verordening;

d) indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;

e) de gegevensbeschermingseffectbeoordeling waarin bij artikel 35 is voorzien; en

f) alle andere informatie waar de toezichthoudende autoriteit om verzoekt.

4. De lidstaten raadplegen de toezichthoudende autoriteit bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel, of een daarop gebaseerde regelgevingsmaatregel in verband met verwerking.

5. Niettegenstaande lid 1 kunnen de verwerkingsverantwoordelijken lidstaatrechtelijk ertoe worden verplicht overleg met de toezichthoudende autoriteit te plegen en om haar voorafgaande toestemming te verzoeken wanneer zij met het oog op de vervulling van een taak van algemeen belang verwerken, onder meer wanneer verwerking verband houdt met sociale bescherming en volksgezondheid.