Статья 35. Оценка воздействия на защиту данных. Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR)

Статья 35
Оценка воздействия на защиту данных

1. В случае если тип обработки данных, особенно при использовании новых технологий и с учетом характера, объема, особенностей и целей обработки, может привести к высокой степени риска для прав и свобод физических лиц, контролер перед обработкой осуществляет оценку воздействия предусмотренного процесса обработки данных на защиту персональных данных. Отдельная оценка может быть проведена в отношении совокупности аналогичных процессов обработки данных с аналогичной высокой степенью риска.

2. При проведении оценки воздействия на защиту данных контролер должен обратиться за советом к инспектору по защите персональных данных, если он был назначен.

3. Оценка воздействия на защиту данных, указанная в параграфе 1, требуется, в частности, в случае:

(a) систематической и масштабной оценки личностных аспектов физических лиц, которая основывается на автоматизированной обработке, включая формирование профиля, и которая служит основой для решений, порождающих юридические последствия в отношении физического лица или аналогичным образом существенно влияющих на физическое лицо;

(b) масштабной обработки особых категорий данных, указанных в Статье 9(1), или персональных данных, относящихся к уголовным приговорам и преступлениям согласно Статье 10; или

(c) систематического обширного мониторинга открытой для общего доступа области.

4. Надзорный орган должен создать и опубликовать перечень процессов обработки данных, относительно которых должна осуществляться оценка воздействия на защиту данных согласно параграфу 1. Надзорный орган должен передать данные перечни Совету, указанному в Статье 68.

5. Надзорный орган может также создать и опубликовать перечень видов обработки данных, для которых не требуется оценка воздействия на защиту данных. Надзорный орган должен передать указанные перечни Совету.

6. До утверждения перечней, указанных в параграфах 4 и 5, компетентный надзорный орган должен применить механизм сопоставимости, указанный в Статье 63, если указанные перечни охватывают обработку данных, связанных с предложением товаров и услуг субъектам данных или с мониторингом их поведенческой активности в нескольких государствах-членах ЕС или могущих существенно повлиять на свободное обращение персональных данных на территории Союза.

7. Оценка должна содержать как минимум следующее:

(a) систематическое описание предусмотренных процессов обработки данных и целей обработки, в том числе, в соответствующих случаях, законного интереса контролера;

(b) оценку необходимости и пропорциональности обработки данных относительно целей;

(c) оценку рисков для прав и свобод субъектов данных, указанных в параграфе 1; и

(d) меры, предусмотренные для устранения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.

8. Соблюдение утвержденных норм поведе