Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Статья 35
Оценка воздействия на защиту данных
1. В случае если тип обработки данных, особенно при использовании новых технологий и с учетом характера, объема, особенностей и целей обработки, может привести к высокой степени риска для прав и свобод физических лиц, контролер перед обработкой осуществляет оценку воздействия предусмотренного процесса обработки данных на защиту персональных данных. Отдельная оценка может быть проведена в отношении совокупности аналогичных процессов обработки данных с аналогичной высокой степенью риска.
2. При проведении оценки воздействия на защиту данных контролер должен обратиться за советом к инспектору по защите персональных данных, если он был назначен.
3. Оценка воздействия на защиту данных, указанная в параграфе 1, требуется, в частности, в случае:
(a) систематической и масштабной оценки личностных аспектов физических лиц, которая основывается на автоматизированной обработке, включая формирование профиля, и которая служит основой для решений, порождающих юридические последствия в отношении физического лица или аналогичным образом существенно влияющих на физическое лицо;
(b) масштабной обработки особых категорий данных, указанных в Статье 9(1), или персональных данных, относящихся к уголовным приговорам и преступлениям согласно Статье 10; или
(c) систематического обширного мониторинга открытой для общего доступа области.
4. Надзорный орган должен создать и опубликовать перечень процессов обработки данных, относительно которых должна осуществляться оценка воздействия на защиту данных согласно параграфу 1. Надзорный орган должен передать данные перечни Совету, указанному в Статье 68.
5. Надзорный орган может также создать и опубликовать перечень видов обработки данных, для которых не требуется оценка воздействия на защиту данных. Надзорный орган должен передать указанные перечни Совету.
6. До утверждения перечней, указанных в параграфах 4 и 5, компетентный надзорный орган должен применить механизм сопоставимости, указанный в Статье 63, если указанные перечни охватывают обработку данных, связанных с предложением товаров и услуг субъектам данных или с мониторингом их поведенческой активности в нескольких государствах-членах ЕС или могущих существенно повлиять на свободное обращение персональных данных на территории Союза.
7. Оценка должна содержать как минимум следующее:
(a) систематическое описание предусмотренных процессов обработки данных и целей обработки, в том числе, в соответствующих случаях, законного интереса контролера;
(b) оценку необходимости и пропорциональности обработки данных относительно целей;
(c) оценку рисков для прав и свобод субъектов данных, указанных в параграфе 1; и
(d) меры, предусмотренные для устранения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.
8. Соблюдение утвержденных норм поведе
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.