Artykuł 35

Ocena skutk├│w dla ochrony danych

  • Je┼╝eli dany rodzaj przetwarzania ÔÇô w┬ászczeg├│lno┼Ťci z┬áu┼╝yciem nowych technologii ÔÇô ze wzgl─Ödu na sw├│j charakter, zakres, kontekst i┬ácele z┬ádu┼╝ym prawdopodobie┼ästwem mo┼╝e powodowa─ç wysokie ryzyko naruszenia praw lub┬áwolno┼Ťci os├│b fizycznych, administrator przed rozpocz─Öciem przetwarzania dokonuje oceny skutk├│w planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wi─ů┼╝─ůcych si─Ö z┬ápodobnym wysokim ryzykiem mo┼╝na przeprowadzi─ç pojedyncz─ů ocen─Ö.
  • Dokonuj─ůc oceny skutk├│w dla ochrony danych, administrator konsultuje si─Ö z┬áinspektorem ochrony danych, je┼╝eli zosta┼é on wyznaczony.
  • Ocena skutk├│w dla ochrony danych, o┬ákt├│rej mowa w┬áust.┬á1, jest wymagana w┬ászczeg├│lno┼Ťci w┬áprzypadku:
    • a) systematycznej, kompleksowej oceny czynnik├│w osobowych odnosz─ůcych si─Ö do os├│b fizycznych, kt├│ra opiera si─Ö na zautomatyzowanym przetwarzaniu, w┬átym profilowaniu, i┬ájest podstaw─ů decyzji wywo┼éuj─ůcych skutki prawne wobec osoby fizycznej lub w┬ápodobny spos├│b znacz─ůco wp┼éywaj─ůcych na osob─Ö fizyczn─ů;
    • b) przetwarzania na du┼╝─ů skal─Ö szczeg├│lnych kategorii danych osobowych, o┬ákt├│rych mowa w┬áart.┬á9┬áust.┬á1, lub danych osobowych dotycz─ůcych┬áwyrok├│w skazuj─ůcych i┬ánarusze┼ä prawa, o┬áczym mowa w┬áart.┬á10; lub
    • c) systematycznego monitorowania na du┼╝─ů skal─Ö miejsc dost─Öpnych publicznie.
  • Organ nadzorczy ustanawia i┬ápodaje do publicznej wiadomo┼Ťci wykaz rodzaj├│w operacji przetwarzania podlegaj─ůcych wymogowi dokonania oceny skutk├│w dla ochrony danych na mocy┬áust.┬á1. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o┬ákt├│rej mowa w┬áart.┬á68.
  • Organ nadzorczy mo┼╝e tak┼╝e ustanowi─ç i┬ápoda─ç do wiadomo┼Ťci publicznej wykaz rodzaj├│w operacji przetwarzania niepodlegaj─ůcych wymogowi dokonania oceny skutk├│w dla ochrony danych. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych.
  • Je┼╝eli wykazy, o┬ákt├│rych mowa w┬áust.┬á4 i┬á5, obejmuj─ů czynno┼Ťci przetwarzania zwi─ůzane z┬áoferowaniem towar├│w lub us┼éug osobom, kt├│rych dane dotycz─ů, lub z┬ámonitorowaniem ich zachowania w┬ákilku pa┼ästwach cz┼éonkowskich lub mog─ůce znacznie wp┼éyn─ů─ç na swobodny przep┼éyw danych osobowych w┬áUnii, przed przyj─Öciem takich wykaz├│w w┼éa┼Ťciwy organ nadzorczy stosuje mechanizm sp├│jno┼Ťci, o┬ákt├│rym mowa w┬áart.┬á63.
  • Ocena zawiera co najmniej:
    • a) systematyczny opis planowanych operacji przetwarzania i┬ácel├│w przetwarzania, w┬átym, gdy ma to zastosowanie ÔÇô prawnie uzasadnionych interes├│w realizowanych przez administratora;
    • b) ocen─Ö, czy operacje przetwarzania s─ů niezb─Ödne oraz proporcjonalne w┬ástosunku do cel├│w;
    • c) ocen─Ö ryzyka naruszenia praw lub┬áwolno┼Ťci os├│b, kt├│rych dane dotycz─ů, o┬ákt├│rym mowa w┬áust.┬á1; oraz
    • d) ┼Ťrodki planowane w┬ácelu zaradzenia ryzyku, w┬átym zabezpieczenia oraz ┼Ťrodki i┬ámechanizmy bezpiecze┼ästwa maj─ůce zapewni─ç ochron─Ö danych osobowych i┬áwykaza─ç przestrzeganie niniejszego rozporz─ůdzenia, z┬áuwzgl─Ödnieniem praw i┬áprawnie uzasadnionych interes├│w os├│b, kt├│rych dane dotycz─ů, i┬áinnych os├│b, kt├│rych sprawa dotyczy.
  • Oceniaj─ůc ÔÇô w┬ászczeg├│lno┼Ťci do cel├│w oceny skutk├│w dla ochrony danych ÔÇô skutki operacji przetwarzania wykonywanych przez administratora lub podmiot przetwarzaj─ůcy, uwzgl─Ödnia si─Ö przestrzeganie przez takiego administratora lub taki podmiot przetwarzaj─ůcy zatwierdzonych kodeks├│w post─Öpowania, o┬ákt├│rych mowa w┬áart.┬á40.
  • W stosownych przypadkach administrator zasi─Öga opinii os├│b, kt├│rych dane dotycz─ů, lub ich przedstawicieli w┬ásprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interes├│w handlowych lub publicznych lub bezpiecze┼ästwa operacji przetwarzania.
  • Ust. 1ÔÇô7┬ánie maj─ů zastosowania, je┼╝eli przetwarzanie na mocy art.┬á6┬áust.┬á1┬álit.┬ác) lub e) ma podstaw─Ö prawn─ů w┬áprawie Unii lub w┬áprawie pa┼ästwa cz┼éonkowskiego, kt├│remu podlega administrator, i┬áprawo takie reguluje dan─ů operacj─Ö przetwarzania lub zestaw operacji, a┬áoceny skutk├│w dla ochrony danych dokonano ju┼╝ w┬áramach oceny skutk├│w regulacji w┬ázwi─ůzku z┬áprzyj─Öciem tej podstawy prawnej ÔÇô chyba ┼╝e pa┼ästwa cz┼éonkowskie uznaj─ů za niezb─Ödne, by przed podj─Öciem czynno┼Ťci przetwarzania dokona─ç oceny skutk├│w dla ochrony danych.
  • W razie potrzeby, przynajmniej gdy zmienia si─Ö ryzyko wynikaj─ůce z┬áoperacji przetwarzania, administrator dokonuje przegl─ůdu, by stwierdzi─ç, czy przetwarzanie odbywa si─Ö zgodnie z┬áocen─ů skutk├│w dla ochrony danych.