Статья 39. Оценка воздействия на защиту данных. Регламент Европейского Парламента и Совета Европейского Союза 2018/1725 от 23.10.2018 о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC

Статья 39
Оценка воздействия на защиту данных

1. Если тип обработки данных, в частности, использование новых технологий с учетом характера, масштаба, контекста и целей обработки, может привести к возникновению высокой степени риска для прав и свобод физических лиц, контролер перед обработкой должен провести оценку воздействия предполагаемых операций по обработке на защиту персональных данных. Одна оценка может быть проведена в отношении нескольких аналогичных операций по обработке данных, которые представляют собой аналогичную высокую степень риска.

2. При проведении оценки воздействия на защиту данных контролер должен обратиться за советом к инспектору по защите данных.

3. Оценка воздействия на защиту данных, указанная в параграфе 1, требуется, в частности, в случае:

(a) систематической и масштабной оценки личностных аспектов физических лиц, которая основывается на автоматизированной обработке, включая формирование профиля, и которая служит основой для решений, результатом которых становятся юридические последствия в отношении физического лица или которые аналогичным образом существенно влияют на физическое лицо;

(b) масштабной обработки особых категорий данных, указанных в Статье 10, или персональных данных, относящихся к судимостям и преступлениям, указанным в Статье 11; или

(c) систематического масштабного мониторинга сферы, открытой для общего доступа.

4. Европейский инспектор по защите данных должен составить и обнародовать перечень видов операций по обработке данных, относительно которых существует требование о проведении оценки воздействия на защиту данных на основании параграфа 1.

5. Европейский инспектор по защите данных также вправе составить и обнародовать перечень видов операций по обработке данных, для которых не требуется оценка воздействия на защиту данных.

6. До принятия перечней, указанных в параграфах 4 и 5 настоящей Статьи, Европейский инспектор по защите данных должен сделать запрос в Европейский Совет по защите данных, учрежденный Статьей 68 Регламента (ЕС) 2016/679, о проверке указанных перечней в соответствии с пунктом (е) Статьи 70(1) данного Регламента, если они ссылаются на операции по обработке, осуществляемые контролером, действующим совместно с одним контролером или более, кроме учреждений и органов Союза.

7. Оценка должна содержать по меньшей мере следующее:

(a) систематическое описание предполагаемых операций по обработке и целей обработки;

(b) оценку необходимости и пропорциональности операций по обработке в отношении целей;

(c) оценку рисков для прав и свобод субъектов данных, указанных в параграфе 1; и

(d) меры, предполагаемые для устранения рисков, включая меры защиты, меры и механизмы безопасности для обеспечения защиты персональных данных и демонстрации соблюдения настоящего Регламента с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.

8. Соблюдение одобренных норм поведения, указанных в Статье 40 Регламента (ЕС) 2016/679, соответствующими лицами, обрабатывающими данные, кроме учреждений и органов Союза, следует учитывать при оценке воздействия на операции по обработке данных, проведенные указанными лицами, обрабатывающими данные, в частности, в целях оценки воздействия на защиту данных.

9. Если это целесообразно, контролер должен узнать мнение субъектов данных или их представителей относительно предполагаемой обработки, без ущерба для защиты общественных интересов или безопасности операций по обработке.

10. Если обработка на основании пункта (a) или (b) Статьи 5(1) имеет юридическое основание в правовом акте, принятом на основании Договоров, которые регулируют конкретные операции по обработке или совокупность указанных операций, и если оценка воздействия на защиту данных уже проводилась как часть общей оценки воздействия, предшествующей принятию указанного правового акта, параграфы 1 - 6 настоящей Статьи не должны применяться, кроме случаев, когда в правовом акте предусмотрено иное.

11. При необходимости контролер должен проводить пересмотр оценки, если обработка выполнялась в соответствии с оценкой воздействия на защиту данных, по крайней мере когда имеются изменения в отношении риска, представленного операциями по обработке.