35. pants

Novērtējums par ietekmi uz datu aizsardzību

  • Ja apstrādes veids, jo Ä«paÅ¡i, izmantojot jaunās tehnoloÄ£ijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolÅ«kus, varētu radÄ«t augstu risku fizisku personu tiesÄ«bām un brÄ«vÄ«bām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbÄ«bas ietekmēs personas datu aizsardzÄ«bu. Vienā novērtējumā var pievērsties tādu lÄ«dzÄ«gu apstrādes darbÄ«bu kopumam, kurām piemÄ«t lÄ«dzÄ«gi augsti riski.
  • Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzÄ«bu, lÅ«dz padomu no datu aizsardzÄ«bas speciālista, ja tāds ir iecelts.
  • Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzÄ«bu jo Ä«paÅ¡i ir vajadzÄ«gs šādos gadÄ«jumos:
    • a) ar fiziskām personām saistÄ«tu personisku aspektu sistemātiska un plaÅ¡a novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai lÄ«dzÄ«gi bÅ«tiski ietekmē fizisko personu;
    • b) 9. panta 1. punktā minēto Ä«paÅ¡o kategoriju datu vai 10. pantā minēto personas datu par sodāmÄ«bu un pārkāpumiem apstrāde plašā mērogā; vai
    • c) publiski pieejamas zonas sistemātiska uzraudzÄ«ba plašā mērogā.
  • UzraudzÄ«bas iestāde izstrādā un publisko sarakstu ar tiem apstrādes darbÄ«bu veidiem, attiecÄ«bā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzÄ«bu saskaņā ar 1. punktu. UzraudzÄ«bas iestāde minētos sarakstus iesniedz 68. pantā minētajai kolēģijai.
  • UzraudzÄ«bas iestāde var izstrādāt un publiskot arÄ« sarakstu ar tiem apstrādes darbÄ«bu veidiem, attiecÄ«bā uz kuriem nav vajadzÄ«gs novērtējums par ietekmi uz datu aizsardzÄ«bu. UzraudzÄ«bas iestāde minētos sarakstus iesniedz kolēģijai.
  • Ja 4. un 5. punktā paredzētais saraksts ietver apstrādes darbÄ«bas, kas ir saistÄ«tas ar preču vai pakalpojumu sniegÅ¡anu datu subjektiem vai ar viņu uzvedÄ«bas novēroÅ¡anu vairākās dalÄ«bvalstÄ«s, vai kas var bÅ«tiski ietekmēt personas datu brÄ«vu apriti SavienÄ«bā, kompetentā uzraudzÄ«bas iestāde pirms minētā saraksta pieņemÅ¡anas piemēro 63. pantā paredzēto konsekvences mehānismu.
  • Novērtējumā ietver vismaz:
    • a) plānoto apstrādes darbÄ«bu un apstrādes nolÅ«ku, tostarp attiecÄ«gā gadÄ«jumā pārziņa leÄ£itÄ«mo intereÅ¡u sistemātisku aprakstu;
    • b) novērtējumu par apstrādes darbÄ«bu nepiecieÅ¡amÄ«bu un samērÄ«gumu attiecÄ«bā uz nolÅ«kiem;
    • c) novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesÄ«bām un brÄ«vÄ«bām; un
    • d) pasākumus, kas paredzēti risku novērÅ¡anai, tostarp garantijas, droÅ¡Ä«bas pasākumus un mehānismus, ar ko nodroÅ¡ina personas datu aizsardzÄ«bu un uzskatāmi parāda, ka ir ievērota Å¡Ä« regula, ņemot vērā datu subjektu un citu attiecÄ«go personu tiesÄ«bas un leÄ£itÄ«mās intereses.
  • AttiecÄ«go pārziņu vai apstrādātāju atbilstÄ«bu 40. pantā minētajam rÄ«cÄ«bas kodeksam pienācÄ«gi ņem vērā, novērtējot šādu pārziņu vai apstrādātāju veikto apstrādes darbÄ«bu ietekmi, jo Ä«paÅ¡i saistÄ«bā ar novērtējumu par ietekmi uz datu aizsardzÄ«bu.
  • AttiecÄ«gā gadÄ«jumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot komerciālu vai sabiedrÄ«bas intereÅ¡u aizsardzÄ«bu vai apstrādes darbÄ«bu droÅ¡Ä«bu.
  • Ja saskaņā ar 6. panta 1. punkta c) vai e) apakÅ¡punktu veiktās apstrādes juridiskais pamats ir noteikts SavienÄ«bas tiesÄ«bu aktos vai tās dalÄ«bvalsts tiesÄ«bu aktos, kuri ir piemērojami pārzinim, un minētie tiesÄ«bu akti reglamentē konkrēto apstrādes darbÄ«bu vai minēto darbÄ«bu kopumu, un novērtējums par ietekmi uz datu aizsardzÄ«bu jau ir veikts kā daļa no vispārējā ietekmes novērtējuma saistÄ«bā ar minētā juridiskā pamata pieņemÅ¡anu, šā panta 1.–7. punktu nepiemēro, izņemot, ja dalÄ«bvalstis uzskata, ka pirms apstrādes darbÄ«bām ir jāveic šāds novērtējums.
  • Ja vajadzÄ«gs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzÄ«bu, vismaz tad, ja ir izmaiņas attiecÄ«bā uz apstrādes darbÄ«bu radÄ«to risku.