Secţiunea 3 - Evaluarea impactului asupra protecţiei datelor şi consultarea prealabilă - Regulamentul 679/27-apr-2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
Acte UE
Jurnalul Oficial 119L
În vigoare Versiune de la: 23 Mai 2018
Secţiunea 3:Evaluarea impactului asupra protecţiei datelor şi consultarea prealabilă
Art. 35: Evaluarea impactului asupra protecţiei datelor
(1)Având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operaţiunilor de prelucrare prevăzute asupra protecţiei datelor cu caracter personal. O evaluare unică poate aborda un set de operaţiuni de prelucrare similare care prezintă riscuri ridicate similare.
(2)La realizarea unei evaluări a impactului asupra protecţiei datelor, operatorul solicită avizul responsabilului cu protecţia datelor, dacă acesta a fost desemnat.
(3)Evaluarea impactului asupra protecţiei datelor menţionată la alineatul (1) se impune mai ales în cazul:
a)unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b)prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la articolul 10; sau
c)unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
(4)Autoritatea de supraveghere întocmeşte şi publică o listă a tipurilor de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluări a impactului asupra protecţiei datelor, în conformitate cu alineatul (1). Autoritatea de supraveghere comunică aceste liste comitetului menţionat la articolul 68.
(5)Autoritatea de supraveghere poate, de asemenea, să stabilească şi să pună la dispoziţia publicului o listă a tipurilor de operaţiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecţiei datelor. Autoritatea de supraveghere comunică aceste liste comitetului.
(6)Înainte de adoptarea listelor menţionate la alineatele (4) şi (5), autoritatea de supraveghere competentă aplică mecanismul pentru asigurarea coerenţei menţionat la articolul 63 în cazul în care aceste liste implică activităţi de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii către persoane vizate sau monitorizarea comportamentului acestora în mai multe state membre ori care pot afecta în mod substanţial libera circulaţie a datelor cu caracter personal în cadrul Uniunii.
(7)Evaluarea conţine cel puţin:
a)o descriere sistematică a operaţiunilor de prelucrare preconizate şi a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
b)o evaluare a necesităţii şi proporţionalităţii operaţiunilor de prelucrare în legătură cu aceste scopuri;
c)o evaluare a riscurilor pentru drepturile şi libertăţile persoanelor vizate menţionate la alineatul (1); şi
d)măsurile preconizate în vederea abordării riscurilor, inclusiv garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze conformitatea cu dispoziţiile prezentului regulament, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale altor persoane interesate.
(8)La evaluarea impactului operaţiunilor de prelucrare efectuate de operatorii sau de persoanele împuternicite de operatori relevante, se are în vedere în mod corespunzător respectarea de către operatorii sau persoanele împuternicite respective a codurilor de conduită aprobate menţionate la articolul 40, în special în vederea unei evaluări a impactului asupra protecţiei datelor.
(9)Operatorul solicită, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanţilor acestora privind prelucrarea prevăzută, fără a aduce atingere protecţiei intereselor comerciale sau publice ori securităţii operaţiunilor de prelucrare.
(10)Atunci când prelucrarea în temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic în dreptul Uniunii sau al unui stat membru sub incidenţa căruia intră operatorul, iar dreptul respectiv reglementează operaţiunea de prelucrare specifică sau setul de operaţiuni specifice în cauză şi deja s-a efectuat o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluări a impactului generale în contextul adoptării respectivului temei juridic, alineatele (1)-(7) nu se aplică, cu excepţia cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfăşurării activităţilor de prelucrare.
(11)Acolo unde este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecţiei datelor, cel puţin atunci când are loc o modificare a riscului reprezentat de operaţiunile de prelucrare.
Art. 36: Consultarea prealabilă
(1)Operatorul consultă autoritatea de supraveghere înainte de prelucrarea atunci când evaluarea impactului asupra protecţiei datelor prevăzută la articolul 35 indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.
(2)Atunci când consideră că prelucrarea prevăzută menţionată la alineatul (1) ar încălca prezentul regulament, în special atunci când riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, autoritatea de supraveghere oferă consiliere în scris operatorului şi, după caz, persoanei împuternicite de operator, în cel mult opt săptămâni de la primirea cererii de consultare, şi îşi poate utiliza oricare dintre competenţele menţionate la articolul 58. Această perioadă poate fi prelungită cu şase săptămâni, ţinându-se seama de complexitatea prelucrării prevăzute. Autoritatea de supraveghere informează operatorul şi, după caz, persoana împuternicită de operator, în termen de o lună de la primirea cererii, cu privire la orice astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi suspendate până când autoritatea de supraveghere a obţinut informaţiile pe care le-a solicitat în scopul consultării.
(3)Atunci când consultă autoritatea de supraveghere în conformitate cu alineatul (1), operatorul îi furnizează acesteia:
a)dacă este cazul, responsabilităţile respective ale operatorului, ale operatorilor asociaţi şi ale persoanelor împuternicite de operator implicate în activităţile de prelucrare, în special pentru prelucrarea în cadrul unui grup de întreprinderi;
b)scopurile şi mijloacele prelucrării preconizate;
c)măsurile şi garanţiile prevăzute pentru protecţia drepturilor şi libertăţilor persoanelor vizate, în conformitate cu prezentul regulament;
d)dacă este cazul, datele de contact ale responsabilului cu protecţia datelor;
e)evaluarea impactului asupra protecţiei datelor prevăzută la articolul 35; şi
f)orice alte informaţii solicitate de autoritatea de supraveghere.
(4)Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei propuneri de măsură legislativă care urmează să fie adoptată de un parlament naţional sau a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la prelucrarea.
(5)În pofida alineatului (1), dreptul intern poate impune operatorilor să se consulte cu autoritatea de supraveghere şi să obţină în prealabil autorizarea din partea acesteia în legătură cu prelucrarea de către un operator în vederea îndeplinirii unei sarcini exercitate de acesta în interes public, inclusiv prelucrarea în legătură cu protecţia socială şi sănătatea publică.