Статья 35. Оценка воздействия на защиту данных. Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR)

Статья 35
Оценка воздействия на защиту данных

1. В случае если тип обработки данных, особенно при использовании новых технологий и с учетом характера, объема, особенностей и целей обработки, может привести к высокой степени риска для прав и свобод физических лиц, контролер перед обработкой осуществляет оценку воздействия предусмотренного процесса обработки данных на защиту персональных данных. Отдельная оценка может быть проведена в отношении совокупности аналогичных процессов обработки данных с аналогичной высокой степенью риска.

2. При проведении оценки воздействия на защиту данных контролер должен обратиться за советом к инспектору по защите персональных данных, если он был назначен.

3. Оценка воздействия на защиту данных, указанная в параграфе 1, требуется, в частности, в случае:

(a) систематической и масштабной оценки личностных аспектов физических лиц, которая основывается на автоматизированной обработке, включая формирование профиля, и которая служит основой для решений, порождающих юридические последствия в отношении физического лица или аналогичным образом существенно влияющих на физическое лицо;

(b) масштабной обработки особых категорий данных, указанных в Статье 9(1), или персональных данных, относящихся к уголовным приговорам и преступлениям согласно Статье 10; или

(c) систематического обширного мониторинга открытой для общего доступа области.

4. Надзорный орган должен создать и опубликовать перечень процессов обработки данных, относительно которых должна осуществляться оценка воздействия на защиту данных согласно параграфу 1. Надзорный орган должен передать данные перечни Совету, указанному в Статье 68.

5. Надзорный орган может также создать и опубликовать перечень видов обработки данных, для которых не требуется оценка воздействия на защиту данных. Надзорный орган должен передать указанные перечни Совету.

6. До утверждения перечней, указанных в параграфах 4 и 5, компетентный надзорный орган должен применить механизм сопоставимости, указанный в Статье 63, если указанные перечни охватывают обработку данных, связанных с предложением товаров и услуг субъектам данных или с мониторингом их поведенческой активности в нескольких государствах-членах ЕС или могущих существенно повлиять на свободное обращение персональных данных на территории Союза.

7. Оценка должна содержать как минимум следующее:

(a) систематическое описание предусмотренных процессов обработки данных и целей обработки, в том числе, в соответствующих случаях, законного интереса контролера;

(b) оценку необходимости и пропорциональности обработки данных относительно целей;

(c) оценку рисков для прав и свобод субъектов данных, указанных в параграфе 1; и

(d) меры, предусмотренные для устранения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.

8. Соблюдение утвержденных норм поведения согласно Статье 40 соответствующими контролерами или лицами, обрабатывающими данные, следует учитывать при оценке воздействия обработки данных, проведенной указанными контролерами или лицами, обрабатывающими данные, в частности в целях оценки воздействия на защиту данных.

9. В соответствующих случаях контролер должен узнать мнение субъектов данных или их представителей относительно запланированной обработки, без ущерба защите коммерческих или общественных интересов или безопасности обработки данных.

10. В случае если обработка согласно пункту (c) или (e) Статьи 6(1) имеет правовое основание в законодательстве Союза или государства-члена ЕС, под действие которого подпадает контролер, если указанное законодательство регулирует определенный процесс обработки данных или совокупность процессов обработки и если оценка воздействия на защиту данных уже проводилась в рамках общей оценки воздействия в отношении утверждения указанного правового основания, параграфы 1 - 7 не должны применяться кроме случаев, когда государства-члены ЕС считают необходимым провести указанную оценку до обработки данных.

11. При необходимости контролер должен провести проверку для того, чтобы оценить, выполняется ли обработка в соответствии с оценкой воздействия на защиту данных, как минимум, когда имеется изменение относительно риска, связанного с обработкой данных.