- Если вид обработки, в частности, с использованием новых технологий, и с учетом характера, объема, контекста и целей обработки, может привести к высокому риску для прав и свобод физических лиц, контролер должен до начала обработки провести оценку влияния предполагаемых операций по обработке на защиту персональных данных. Одна оценка может касаться ряда аналогичных операций по обработке, которые представляют схожий высокий риск.
- При проведении оценки воздействия на защиту данных контролер должен обратиться за советом к уполномоченному по защите данных, где он назначен.
- Оценка воздействия на защиту данных, упомянутая в параграфе 1, в частности, требуется в случае:
- (a) систематическая и обширная оценка личных аспектов, относящихся к физическим лицам, которая основана на автоматизированной обработке, включая профилирование, и на которой основываются решения, имеющие юридические последствия для физического лица или аналогичным образом существенно влияющие на физическое лицо;
- (b) обработка в больших масштабах специальных категорий данных, упомянутых в Статье 9(1), или персональных данных, относящихся к уголовным приговорам и преступлениям, упомянутым в Статье 10; или
- (c) систематический мониторинг общедоступной территории в больших масштабах.
- Контролирующий орган должен составить и обнародовать список видов операций по обработке данных, на которые распространяется требование об оценке воздействия на защиту данных в соответствии с параграфом 1. Надзорный орган должен направить эти списки в Совет, упомянутый в Статье 68.
- Контролирующий орган может также составить и обнародовать список видов операций по обработке данных, для которых не требуется оценка воздействия на защиту данных. Контролирующий орган должен сообщить эти списки Совету.
- До принятия списков, упомянутых в пунктах 4 и 5, компетентный надзорный орган должен применить механизм согласованности, упомянутый в Статье 63, если такие списки включают деятельность по обработке, которая связана с предложением товаров или услуг субъектам данных или с мониторингом их поведения в нескольких государствах-членах, или может существенно повлиять на свободное перемещение персональных данных в рамках Союза.
- Оценка должна содержать как минимум:
- (a) систематическое описание предполагаемых операций по обработке и целей обработки, включая, где это применимо, законный интерес, преследуемый контроллером;
- (b) оценка необходимости и пропорциональности операций по обработке в связи с целями;
- (c) оценка рисков для прав и свобод субъектов данных, упомянутых в параграфе 1; и
- (d) меры, предусмотренные для устранения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных и демонстрации соответствия настоящему Положению с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.
- Соблюдение соответствующими контролерами или обработчиками утвержденных кодексов поведения, упомянутых в Статье 40, должно должным образом учитываться при оценке воздействия операций по обработке, выполняемых такими контролерами или обработчиками, в частности, для целей оценки воздействия на защиту данных.
- При необходимости контролер должен выяснить мнение субъектов данных или их представителей о предполагаемой обработке, не нанося ущерба защите коммерческих или общественных интересов или безопасности операций по обработке.
- Если обработка в соответствии с пунктом (c) или (e) Статьи 6(1) имеет правовую основу в законодательстве Союза или в законодательстве государства-члена, которому подчиняется контроллер, и это законодательство регулирует конкретную операцию обработки или набор операций, о которых идет речь, а оценка воздействия на защиту данных уже была проведена как часть общей оценки воздействия в контексте принятия этой правовой основы, пункты 1-7 не применяются, если только государства-члены не сочтут необходимым провести такую оценку до начала обработки.
- При необходимости контролер должен провести проверку, чтобы определить, выполняется ли обработка в соответствии с оценкой воздействия на защиту данных, по крайней мере, когда происходит изменение риска, связанного с операциями по обработке.
Статья 35