ГЛАВА IV. Контролер і оператор
Секція 3. Оцінювання впливу на захист даних і попередня консультація
Стаття 35. Оцінювання впливу на захист даних
- Якщо тип опрацювання, зокрема з використанням нових технологій, і зважаючи на специфіку, обсяг, контекст і цілі опрацювання, ймовірно призведе до виникнення високого ризику для прав і свобод фізичних осіб, контролер, до здійснення опрацювання, повинен провести оцінювання впливу передбачених операцій опрацювання на захист персональних даних. Єдине оцінювання може стосуватися низки подібних операцій опрацювання, що становлять подібні високі ризики.
- Контролер повинен звернутися за рекомендаціями до співробітника з питань захисту даних, якщо його призначено, у ході проведення оцінювання впливу на захист даних.
- Оцінювання впливу на захист даних, вказане в параграфі 1, є необхідним, зокрема, у випадку:
- систематичного та масштабного оцінювання персональних аспектів, що стосуються фізичних осіб, яке ґрунтується на автоматизованому опрацюванні, в тому числі, профайлінгу, та на якому ґрунтуються рішення, що мають юридичні наслідки щодо фізичної особи чи подібним чином істотно впливають на фізичну особу;
- широкомасштабного опрацювання спеціальних категорій даних, вказаних у статті 9(1), та персональних даних про судимості і кримінальні злочини, вказані в статті 10; або
- систематичного та широкомасштабного моніторингу зони, що знаходиться у відкритому доступі.
- Наглядовий орган повинен розробити і оприлюднити перелік операцій опрацювання, на які поширюється вимога проведення оцінювання впливу на захист даних відповідно до параграфа 1. Наглядовий орган повідомляє Раду про такі переліки, як вказано в статті 68.
- Наглядовий орган може також розробляти і оприлюднювати перелік операцій опрацювання, на які не поширюється вимога проведення оцінювання впливу на захист даних. Наглядовий орган повинен повідомляти Раду про такі переліки.
- До ухвалення переліків, вказаних у параграфах 4 і 5, компетентний наглядовий орган повинен застосовувати механізм послідовності, вказаний у статті 63, якщо такі переліки включають опрацювання даних, пов'язане з пропонуванням товарів або послуг суб'єктам даних або моніторингом їхньої поведінки в декількох державах-членах, або можуть істотно впливати на вільний рух персональних даних у межах Союзу.
- Оцінювання повинне містити принаймні:
- систематичний опис передбачених операцій опрацювання та цілі опрацювання, в тому числі, за необхідності, законний інтерес контролера;
- оцінювання необхідності та пропорційності операцій опрацювання щодо цілей;
- оцінювання ризиків для прав і свобод суб'єктів даних, вказаних у параграфі 1; та
- заходи, передбачені для боротьби з ризиками, в тому числі, гарантії, заходи безпеки та механізми забезпечення захисту персональних даних та доведення відповідності цьому Регламенту, з урахуванням прав і законних інтересів суб'єктів даних та інших залучених осіб.
- Необхідно належним чином враховувати дотримання відповідними контролерами або операторами затверджених кодексів поведінки, вказаних у статті 40, під час оцінювання впливу операцій опрацювання, які здійснюють такі контролери або оператори, зокрема, для цілей оцінювання впливу на захист даних.
- У разі необхідності, контролер повинен ознайомитися з думками суб'єктів даних або їхніх представників щодо запланованого опрацювання, без обмеження захисту комерційних або суспільних інтересів або безпеки операцій опрацювання.
- Якщо опрацювання відповідно пункту (c) або (e) статті 6(1) має законодавчу базу відповідно до законодавства Союзу або законодавства держави-члена, яке поширюється на контролера, таке законодавство регулює конкретну операцію опрацювання чи відповідну низку операцій, і якщо оцінювання впливу на захист даних вже було проведено як частину загального оцінювання впливу в контексті ухвалення такої законодавчої бази, параграфи 1-7 не застосовують, за винятком, якщо держави-члени вважають за необхідне провести таке оцінювання до здійснення опрацювання даних.
- У разі необхідності, контролер повинен провести перевірку, щоб пересвідчитися, чи здійснюють опрацювання з урахуванням оцінювання впливу на захист даних, принаймні - у разі зміни ризику, який становлять операції опрацювання.