Artikel 35

Konsekvensanalyse vedrĂžrende databeskyttelse

  • Hvis en type behandling, navnlig ved brug af nye teknologier og i medfĂžr af sin karakter, omfang, sammenhĂŠng og formĂ„l, sandsynligvis vil indebĂŠre en hĂžj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de pĂ„tĂŠnkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebĂŠrer lignende hĂžje risici.
  • Den dataansvarlige rĂ„dfĂžrer sig med databeskyttelsesrĂ„dgiveren, hvis en sĂ„dan er udpeget, nĂ„r der foretages en konsekvensanalyse vedrĂžrende databeskyttelse.
  • En konsekvensanalyse vedrĂžrende databeskyttelse som omhandlet i stk. 1 er navnlig pĂ„krĂŠvet i fĂžlgende tilfĂŠlde:
    • a) en systematisk og omfattende vurdering af personlige forhold vedrĂžrende fysiske personer, der er baseret pĂ„ automatisk behandling, herunder profilering, og som er grundlag for afgĂžrelser, der har retsvirkning for den fysiske person eller pĂ„ tilsvarende vis betydeligt pĂ„virker den fysiske person
    • b) behandling i stort omfang af sĂŠrlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrĂžrende straffedomme og lovovertrĂŠdelser, jf. artikel 10, eller
    • c) systematisk overvĂ„gning af et offentligt tilgĂŠngeligt omrĂ„de i stort omfang.
  • Tilsynsmyndigheden udarbejder og offentliggĂžr en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrĂžrende databeskyttelse i henhold til stk. 1. Tilsynsmyndigheden indgiver disse lister til det i artikel 68 omhandlede DatabeskyttelsesrĂ„d.
  • Tilsynsmyndigheden kan ogsĂ„ udarbejde og offentliggĂžre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke krĂŠves nogen konsekvensanalyse vedrĂžrende databeskyttelse. Tilsynsmyndigheden indgiver disse lister til DatabeskyttelsesrĂ„det.
  • Inden vedtagelsen af listerne i stk. 4 og 5 anvender den kompetente tilsynsmyndighed den sammenhĂŠngsmekanisme, der er omhandlet i artikel 63, hvis sĂ„danne lister omfatter behandlingsaktiviteter, der vedrĂžrer udbud af varer eller tjenesteydelser til registrerede eller overvĂ„gning af sĂ„danne registreredes adfĂŠrd i flere medlemsstater, eller som i vĂŠsentlig grad kan pĂ„virke den frie udveksling af personoplysninger i Unionen.
  • Analysen skal mindst omfatte:
    • a) en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formĂ„lene med behandlingen, herunder i givet fald de legitime interesser, der forfĂžlges af den dataansvarlige
    • b) en vurdering af, om behandlingsaktiviteterne er nĂždvendige og stĂ„r i rimeligt forhold til formĂ„lene
    • c) en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og
    • d) de foranstaltninger, der pĂ„tĂŠnkes for at imĂždegĂ„ disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og pĂ„vise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berĂžrte personers rettigheder og legitime interesser.
  • Overholdelse af godkendte adfĂŠrdskodekser, jf. artikel 40, inddrages behĂžrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter, der udfĂžres af de pĂ„gĂŠldende dataansvarlige eller databehandlere, navnlig i forbindelse med en konsekvensanalyse vedrĂžrende databeskyttelse.
  • Den dataansvarlige indhenter, hvis det er relevant, de registreredes eller deres reprĂŠsentanters synspunkter vedrĂžrende den planlagte behandling, uden at det berĂžrer beskyttelse af kommercielle eller samfundsmĂŠssige interesser eller behandlingsaktiviteternes sikkerhed.
  • Hvis behandling i henhold til artikel 6, stk. 1, litra c) eller e), har et retsgrundlag i EU-retten eller i den medlemsstats nationale ret, som den dataansvarlige er underlagt, og denne ret regulerer den eller de pĂ„gĂŠldende specifikke behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedrĂžrende databeskyttelse som led i en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag, finder stk. 1-7 ikke anvendelse, medmindre medlemsstaterne anser det for nĂždvendigt at foretage en sĂ„dan analyse inden behandlingsaktiviteter.
  • Den dataansvarlige foretager, hvis det er nĂždvendigt, en fornyet gennemgang for at vurdere, hvorvidt behandling er foretaget i overensstemmelse med konsekvensanalysen vedrĂžrende databeskyttelse, i hvert fald nĂ„r der er en ĂŠndring af den risiko, som behandlingsaktiviteterne udgĂžr.