Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Статья 39
Оценка воздействия на защиту данных
1. Если тип обработки данных, в частности, использование новых технологий с учетом характера, масштаба, контекста и целей обработки, может привести к возникновению высокой степени риска для прав и свобод физических лиц, контролер перед обработкой должен провести оценку воздействия предполагаемых операций по обработке на защиту персональных данных. Одна оценка может быть проведена в отношении нескольких аналогичных операций по обработке данных, которые представляют собой аналогичную высокую степень риска.
2. При проведении оценки воздействия на защиту данных контролер должен обратиться за советом к инспектору по защите данных.
3. Оценка воздействия на защиту данных, указанная в параграфе 1, требуется, в частности, в случае:
(a) систематической и масштабной оценки личностных аспектов физических лиц, которая основывается на автоматизированной обработке, включая формирование профиля, и которая служит основой для решений, результатом которых становятся юридические последствия в отношении физического лица или которые аналогичным образом существенно влияют на физическое лицо;
(b) масштабной обработки особых категорий данных, указанных в Статье 10, или персональных данных, относящихся к судимостям и преступлениям, указанным в Статье 11; или
(c) систематического масштабного мониторинга сферы, открытой для общего доступа.
4. Европейский инспектор по защите данных должен составить и обнародовать перечень видов операций по обработке данных, относительно которых существует требование о проведении оценки воздействия на защиту данных на основании параграфа 1.
5. Европейский инспектор по защите данных также вправе составить и обнародовать перечень видов операций по обработке данных, для которых не требуется оценка воздействия на защиту данных.
6. До принятия перечней, указанных в параграфах 4 и 5 настоящей Статьи, Европейский инспектор по защите данных должен сделать запрос в Европейский Совет по защите данных, учрежденный Статьей 68 Регламента (ЕС) 2016/679, о проверке указанных перечней в соответствии с пунктом (е) Статьи 70(1) данного Регламента, если они ссылаются на операции по обработке, осуществляемые контролером, действующим совместно с одним контролером или более, кроме учреждений и органов Союза.
7. Оценка должна содержать по меньшей мере следующее:
(a) систематическое описание предполагаемых операций по обработке и целей обработки;
(b) оценку необходимости и пропорциональности операций по обработке в отношении целей;
(c) оценку рисков для прав и свобод субъектов данных, указанных в параграфе 1; и
(d) меры, предполагаемые для устранения рисков, включая меры защиты, меры и механизмы безопасности для обеспечения защиты персональных данных и демонстрации соблюдения настоящего Регламента с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.
8. Соблюдение одобренных норм поведения, указанных в
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.