Art. 35. - Art. 35: Evaluarea impactului asupra protecţiei datelor - Regulamentul 679/27-apr-2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
Acte UE
Jurnalul Oficial 119L
În vigoare Versiune de la: 23 Mai 2018
Art. 35: Evaluarea impactului asupra protecţiei datelor
(1)Având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operaţiunilor de prelucrare prevăzute asupra protecţiei datelor cu caracter personal. O evaluare unică poate aborda un set de operaţiuni de prelucrare similare care prezintă riscuri ridicate similare.
(2)La realizarea unei evaluări a impactului asupra protecţiei datelor, operatorul solicită avizul responsabilului cu protecţia datelor, dacă acesta a fost desemnat.
(3)Evaluarea impactului asupra protecţiei datelor menţionată la alineatul (1) se impune mai ales în cazul:
a)unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b)prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la articolul 10; sau
c)unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
(4)Autoritatea de supraveghere întocmeşte şi publică o listă a tipurilor de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluări a impactului asupra protecţiei datelor, în conformitate cu alineatul (1). Autoritatea de supraveghere comunică aceste liste comitetului menţionat la articolul 68.
(5)Autoritatea de supraveghere poate, de asemenea, să stabilească şi să pună la dispoziţia publicului o listă a tipurilor de operaţiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecţiei datelor. Autoritatea de supraveghere comunică aceste liste comitetului.
(6)Înainte de adoptarea listelor menţionate la alineatele (4) şi (5), autoritatea de supraveghere competentă aplică mecanismul pentru asigurarea coerenţei menţionat la articolul 63 în cazul în care aceste liste implică activităţi de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii către persoane vizate sau monitorizarea comportamentului acestora în mai multe state membre ori care pot afecta în mod substanţial libera circulaţie a datelor cu caracter personal în cadrul Uniunii.
(7)Evaluarea conţine cel puţin:
a)o descriere sistematică a operaţiunilor de prelucrare preconizate şi a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
b)o evaluare a necesităţii şi proporţionalităţii operaţiunilor de prelucrare în legătură cu aceste scopuri;
c)o evaluare a riscurilor pentru drepturile şi libertăţile persoanelor vizate menţionate la alineatul (1); şi
d)măsurile preconizate în vederea abordării riscurilor, inclusiv garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze conformitatea cu dispoziţiile prezentului regulament, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale altor persoane interesate.
(8)La evaluarea impactului operaţiunilor de prelucrare efectuate de operatorii sau de persoanele împuternicite de operatori relevante, se are în vedere în mod corespunzător respectarea de către operatorii sau persoanele împuternicite respective a codurilor de conduită aprobate menţionate la articolul 40, în special în vederea unei evaluări a impactului asupra protecţiei datelor.
(9)Operatorul solicită, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanţilor acestora privind prelucrarea prevăzută, fără a aduce atingere protecţiei intereselor comerciale sau publice ori securităţii operaţiunilor de prelucrare.
(10)Atunci când prelucrarea în temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic în dreptul Uniunii sau al unui stat membru sub incidenţa căruia intră operatorul, iar dreptul respectiv reglementează operaţiunea de prelucrare specifică sau setul de operaţiuni specifice în cauză şi deja s-a efectuat o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluări a impactului generale în contextul adoptării respectivului temei juridic, alineatele (1)-(7) nu se aplică, cu excepţia cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfăşurării activităţilor de prelucrare.
(11)Acolo unde este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecţiei datelor, cel puţin atunci când are loc o modificare a riscului reprezentat de operaţiunile de prelucrare.