Artikel 35

Konsekvensbedömning avseende dataskydd

  • Om en typ av behandling, sĂ€rskilt med anvĂ€ndning av ny teknik och med beaktande av dess art, omfattning, sammanhang och Ă€ndamĂ„l, sannolikt leder till en hög risk för fysiska personers rĂ€ttigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.
  • Den personuppgiftsansvarige ska rĂ„dfrĂ„ga dataskyddsombudet, om ett sĂ„dant utsetts, vid genomförande av en konsekvensbedömning avseende dataskydd.
  • En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska sĂ€rskilt krĂ€vas i följande fall:
    • a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig pĂ„ automatisk behandling, inbegripet profilering, och pĂ„ vilken beslut grundar sig som har rĂ€ttsliga följder för fysiska personer eller pĂ„ liknande sĂ€tt i betydande grad pĂ„verkar fysiska personer.
    • b) Behandling i stor omfattning av sĂ€rskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fĂ€llande domar i brottmĂ„l och övertrĂ€delser som avses i artikel 10.
    • c) Systematisk övervakning av en allmĂ€n plats i stor omfattning.
  • Tillsynsmyndigheten ska upprĂ€tta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet pĂ„ en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska översĂ€nda dessa förteckningar till den styrelse som avses i artikel 68.
  • Tillsynsmyndigheten fĂ„r ocksĂ„ upprĂ€tta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte krĂ€ver nĂ„gon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översĂ€nda dessa förteckningar till styrelsen.
  • Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillĂ€mpa den mekanism för enhetlighet som avses i artikel 63 om en sĂ„dan förteckning inbegriper behandling som rör erbjudandet av varor eller tjĂ€nster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som vĂ€sentligt kan pĂ„verka den fria rörligheten för personuppgifter i unionen.
  • Bedömningen ska innehĂ„lla Ă„tminstone
    • a) en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, nĂ€r det Ă€r lĂ€mpligt, den personuppgiftsansvariges berĂ€ttigade intresse,
    • b) en bedömning av behovet av och proportionaliteten hos behandlingen i förhĂ„llande till syftena,
    • c) en bedömning av de risker för de registrerades rĂ€ttigheter och friheter som avses i punkt 1, och
    • d) de Ă„tgĂ€rder som planeras för att hantera riskerna, inbegripet skyddsĂ„tgĂ€rder, sĂ€kerhetsĂ„tgĂ€rder och rutiner för att sĂ€kerstĂ€lla skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hĂ€nsyn till de registrerades och andra berörda personers rĂ€ttigheter och berĂ€ttigade intressen.
  • De berörda personuppgiftsansvarigas eller personuppgiftsbitrĂ€denas efterlevnad av godkĂ€nda uppförandekoder enligt artikel 40 ska pĂ„ lĂ€mpligt sĂ€tt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av dessa personuppgiftsansvariga eller personuppgiftsbitrĂ€den, framför allt nĂ€r det gĂ€ller att ta fram en konsekvensbedömning avseende dataskydd.
  • Den personuppgiftsansvarige ska, nĂ€r det Ă€r lĂ€mpligt, inhĂ€mta synpunkter frĂ„n de registrerade eller deras företrĂ€dare om den avsedda behandlingen, utan att det pĂ„verkar skyddet av kommersiella eller allmĂ€nna intressen eller behandlingens sĂ€kerhet.
  • Om behandling enligt artikel 6.1 c eller e har en rĂ€ttslig grund i unionsrĂ€tten eller i en medlemsstats nationella rĂ€tt som den personuppgiftsansvarige omfattas av, reglerar den rĂ€tten den aktuella specifika behandlingsĂ„tgĂ€rden eller serien av Ă„tgĂ€rder i frĂ„ga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmĂ€n konsekvensbedömning i samband med antagandet av denna rĂ€ttsliga grund, ska punkterna 1–7 inte gĂ€lla, om inte medlemsstaterna anser det nödvĂ€ndigt att utföra en sĂ„dan bedömning före behandlingen.
  • Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen avseende dataskydd Ă„tminstone nĂ€r den risk som behandlingen medför förĂ€ndras.