Art. 39. - Art. 39: Evaluarea impactului asupra protecţiei datelor - Regulamentul 1725/23-oct-2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (Ce) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE
Acte UE
Jurnalul Oficial 295L
În vigoare Versiune de la: 21 Noiembrie 2018
Art. 39: Evaluarea impactului asupra protecţiei datelor
(1)Având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este de natură să ducă la apariţia unui risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operaţiunilor de prelucrare prevăzute asupra protecţiei datelor cu caracter personal. O evaluare unică poate aborda un set de operaţiuni de prelucrare similare care prezintă riscuri ridicate similare.
(2)La realizarea unei evaluări a impactului asupra protecţiei datelor, operatorul solicită consiliere din partea responsabilului cu protecţia datelor.
(3)Evaluarea impactului asupra protecţiei datelor menţionată la alineatul (1) se impune mai ales în cazul:
a)unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b)prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 10, sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la articolul 11; sau
c)unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
(4)Autoritatea Europeană pentru Protecţia Datelor întocmeşte şi publică o listă a tipurilor de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluări a impactului asupra protecţiei datelor în conformitate cu alineatul (1).
(5)Autoritatea Europeană pentru Protecţia Datelor poate, de asemenea, să întocmească şi să pună la dispoziţia publicului o listă a tipurilor de operaţiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecţiei datelor.
(6)Înainte de adoptarea listelor menţionate la alineatele (4) şi (5) de la prezentul articol, Autoritatea Europeană pentru Protecţia Datelor solicită Comitetului european pentru protecţia datelor instituit în temeiul articolului 68 din Regulamentul (UE) 2016/679 să examineze aceste liste în conformitate cu articolul 70 alineatul (1) litera (e) din regulamentul menţionat în cazul în care acestea vizează operaţiuni de prelucrare efectuate de un operator care acţionează împreună cu unul sau mai mulţi operatori alţii decât instituţiile şi organele Uniunii.
(7)Evaluarea conţine cel puţin:
a)o descriere sistematică a operaţiunilor de prelucrare preconizate şi a scopurilor prelucrării;
b)o evaluare a necesităţii şi proporţionalităţii operaţiunilor de prelucrare în legătură cu aceste scopuri;
c)o evaluare a riscurilor pentru drepturile şi libertăţile persoanelor vizate menţionate la alineatul (1); şi
d)măsurile preconizate în vederea abordării riscurilor, inclusiv garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze conformitatea cu dispoziţiile prezentului regulament, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale altor persoane interesate.
(8)La evaluarea impactului operaţiunilor de prelucrare efectuate de persoanele împuternicite de operatori relevante, altele decât instituţiile şi organele Uniunii, se are în vedere în mod corespunzător respectarea de către persoanele împuternicite respective a codurilor de conduită aprobate menţionate la articolul 40 din Regulamentul (UE) 2016/679, în special în vederea unei evaluări a impactului asupra protecţiei datelor.
(9)Operatorul solicită, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanţilor acestora privind prelucrarea prevăzută, fără a aduce atingere protecţiei intereselor publice ori securităţii operaţiunilor de prelucrare.
(10)Atunci când prelucrarea efectuată în temeiul articolului 5 alineatul (1) litera (a) sau (b) are drept temei juridic un act legislativ adoptat în baza tratatelor, care reglementează operaţiunea de prelucrare specifică sau setul de operaţiuni în cauză, şi atunci când s-a efectuat deja o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluări generale a impactului prealabile adoptării respectivului act legislativ, alineatele (1)-(6) din prezentul articol nu se aplică, cu excepţia cazului în care acel act legislativ prevede acest lucru.
(11)Acolo unde este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecţiei datelor, cel puţin atunci când are loc o modificare a riscului reprezentat de operaţiunile de prelucrare.