Tuilleadh
Nascleanúint
(1-4)
Airteagal 1. Ábhar agus cuspóiríAirteagal 2. Raon feidhme ábharthaAirteagal 3. Raon feidhme críochachAirteagal 4. Sainmhínithe
CAIBIDIL II Prionsabail (5-11)
Airteagal 5. Prionsabail a bhaineann le próiseáil sonraí pearsantaAirteagal 6. Dleathacht na próiseálaAirteagal 7. Coinníollacha maidir le toiliúAirteagal 8. Na coinníollacha is infheidhme maidir le toiliú linbh i dtaca le seirbhísí na sochaí faisnéiseAirteagal 9. Catagóirí speisialta sonraí pearsanta a phróiseáilAirteagal 10. Sonraí pearsanta a bhaineann le ciontuithe coiriúla agus coireanna a phróiseáilAirteagal 11. Próiseáil nach ngabhann ceanglas sainaitheanta léi
CAIBIDIL III Cearta an ábhair sonraí (12-23)
Airteagal 12. Faisnéis thrédhearcach, cumarsáid agus módúlachtaí i dtaca le feidhmiú chearta an ábhair sonraíAirteagal 13. An fhaisnéis a bheidh le soláthar i gcás go mbailítear sonraí ón ábhar sonraíAirteagal 14. An fhaisnéis a bheidh le soláthar i gcás nár bailíodh na sonraí ón ábhar sonraíAirteagal 15. Ceart rochtana don ábhar sonraíAirteagal 16. An ceart go ndéanfaí ceartúcháinAirteagal 17. An ceart go ndéanfaí léirscriosadh (“an ceart go ndéanfaí ligean i ndearmad”)Airteagal 18. An ceart go gcuirfí srian le próiseáilAirteagal 19. An oibleagáid fógra a thabhairt go ndearnadh sonraí pearsanta a cheartú nó a léirscriosadh nó próiseáil a shrianadhAirteagal 20. An ceart chun iniomparthacht sonraíAirteagal 21. An ceart chun agóid a dhéanamhAirteagal 22. Cinnteoireacht aonair uathoibrithe, lena n-áirítear próifíliúAirteagal 23. Srianta
CAIBIDIL IV Rialaitheoir agus próiseálaí (24-43)
Airteagal 24. Ábhar agus cuspóiríAirteagal 25. Cosaint sonraí trí dhearadh agus mar réamhshocrúAirteagal 26. Rialaitheoirí comhpháirteachaAirteagal 27. Ionadaithe do rialaitheoirí nódo phróiseálaithe nach bhfuil bunaithe san AontasAirteagal 28. An próiseálaíAirteagal 29. Próiseáil faoi údarás an rialaitheora nó an phróiseálaíAirteagal 30. Taifid de ghníomhaíochtaí próiseálaAirteagal 31. Comhar leis an údarás maoirseachtaAirteagal 32. Slándáil na próiseálaAirteagal 33. Fógra a thabhairt don údarás maoirseachta faoi shárú i ndáil le sonraí pearsantaAirteagal 34. Sárú i ndáil le sonraí pearsanta a chur in iúl don ábhar sonraí
Airteagal 35. Measúnú tionchair ar chosaint sonraí
Airteagal 36. RéamhchomhairliúchánAirteagal 37. An t-oifigeach cosanta sonraí a ainmniúAirteagal 38. Post an oifigigh cosanta sonraíAirteagal 39. Cúraimí an oifigigh cosanta sonraíAirteagal 40. Cóid iompairAirteagal 41. Faireachán a dhéanamh ar chóid fhormheasta iompairAirteagal 42. DeimhniúAirteagal 43. Comhlachtaí deimhniúcháin
CAIBIDIL V Aistrithe sonraí pearsanta go tríú tíortha nó go heagraíochtaí idirnáisiúnta (44-50)
Airteagal 44. Prionsabal ginearálta maidir le haistritheAirteagal 45. Aistrithe ar bhonn cinneadh leordhóthanachtaAirteagal 46. Aistrithe faoi réir coimircí iomchuíAirteagal 47. Rialacha ceangailteacha corporáideachaAirteagal 48. Aistrithe nó nochtadh sonraí nach bhfuil údaraithe le dlí an AontaisAirteagal 49. Maoluithe i gcásanna sonrachaAirteagal 50. Comhar idirnáisiúnta chun sonraí pearsana a chosaint
CAIBIDIL VI Údaráis mhaoirseachta neamhspleácha (51-59)
Airteagal 51. An t-údarás maoirseachtaAirteagal 52. NeamhspleáchasAirteagal 53. Coinníollacha ginearálta do chomhaltaí an údaráis mhaoirseachtaAirteagal 54. Rialacha maidir leis an údarás maoirseachta a bhunúAirteagal 55. InniúlachtAirteagal 56. Inniúlacht an príomhúdaráis mhaoirseachtaAirteagal 57. CúraimíAirteagal 58. CumhachtaíAirteagal 59. Tuarascálacha ar ghníomhaíochtaí
CAIBIDIL VII Comhar agus comhsheasmhacht (60-70)
Airteagal 60. Comhar idir an príomhúdarás maoirseachta agus na húdaráis mhaoirseachta eile lena mbaineannAirteagal 61. Cúnamh frithpháirteachAirteagal 62. Oibríochtaí comhpháirteacha na n-údarás maoirseachtaAirteagal 63. An sásra comhsheasmhachtaAirteagal 64. Tuairim an BhoirdAirteagal 65. Réiteach díospóide ag an mBord Eorpach um Chosaint SonraíAirteagal 66. Nós imeachta práinneAirteagal 67. Malartú faisnéiseAirteagal 68. An Bord Eorpach um Chosaint SonraíAirteagal 69. NeamhspleáchasAirteagal 70. Cúraimí an Bhoird Eorpaigh um Chosaint SonraíAirteagal 71. TuarascálachaAirteagal 72. Nós imeachtaAirteagal 73. CathaoirleachAirteagal 74. Cúraimí an ChathaoirlighAirteagal 75. An RúnaíochtAirteagal 76. Rúndacht
CAIBIDIL VIII Leigheasanna, dliteanas agus pionóis (77-84)
Airteagal 77. An ceart chun gearán a thaisceadh le húdarás maoirseachtaAirteagal 78. An ceart chun leigheas breithiúnach éifeachtach a fháil i gcoinne údarás maoirseachtaAirteagal 79. An ceart chun leigheas breithiúnach éifeachtach a fháil i gcoinne rialaitheoir nó próiseálaíAirteagal 80. Ionadaíocht d'ábhair sonraíAirteagal 81. Imeachtaí a chur ar fionraíAirteagal 82. An ceart chun cúiteamh a fháil agus dliteanasAirteagal 83. Coinníollacha ginearálta maidir le fíneálacha riaracháin a ghearradhAirteagal 84. Pionóis
CAIBIDIL IX Forálacha a bhaineann le cásanna sonracha próiseála (85-91)
Airteagal 85. Próiseáil agus saoirse chun tuairimí a nochtadh agus faisnéis a fháilAirteagal 86. Próiseáil agus rochtain phoiblí ar dhoiciméid oifigiúlaAirteagal 87. An uimhir aitheantais náisiúnta a phróiseáilAirteagal 88. Próiseáil i gcomhthéacs na fostaíochtaAirteagal 89. Coimircí agus maoluithe i ndail le próiseáil chun críocha cartlannú a dhéanamh ar mhaithe le leas an phobail, chun críocha taighde eolaíoch nó stairiúil nó chun críocha staidrimhAirteagal 90. Oibleagáidí rúndachtaAirteagal 91. Rialacha cosanta sonraí atá ag eaglaisí agus comhlachais reiligiúnacha cheana
CAIBIDIL X Gníomhartha tarmligthe agus gníomhartha cur chun feidhme (92-93)
Airteagal 92. An tarmligean a fheidhmiúAirteagal 93. An nós imeachta coiste
CAIBIDIL XI Forálacha críochnaitheacha (94-95)
Airteagal 94. Treoir 95/46/CE a aisghairmAirteagal 95. An gaol le Treoir 2002/58/CEAirteagal 96. An gaol le Comhaontuithe a tugadh i gcrích roimhe seoAirteagal 97. Tuarascálacha ón gCoimisiúnAirteagal 98. Athbhreithniú a dhéanamh ar ghníomhartha dlí eile de chuid an Aontais maidir le cosaint sonraíAirteagal 99. Teacht i bhfeidhm agus cur i bhfeidhm
RGCS (GDPR) > Airteagal 35. Measúnú tionchair ar chosaint sonraí
Íoslódáil PDF

Airteagal 35 RGCS (GDPR). Measúnú tionchair ar chosaint sonraí

Article 35 GDPR. Data protection impact assessment

1. I gcás inar dóchúil go dtarlódh ardriosca do chearta agus do shaoirsí daoine nádúrtha de bharr chineál na próiseála, go háirithe próiseáil ina n-úsáidfí nuatheicneolaíochtaí, déanfaidh an rialaitheoir, sula ndéanfar an phróiseáil, measúnú ar thionchar na n-oibríochtaí próiseála a bheartaítear a dheanamh ar chosaint na sonraí pearsanta, agus cineál, raon feidhme, comhthéacs agus críocha na próiseála á gcur san áireamh. Le measúnú aonair, féadfar tabhairt faoi shraith d’oibríochtaí próiseála comhchosúla a bhfuil ardrioscaí comhchosúla ag baint leo.

1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

ISO 27701 Téacsanna gaolmhara
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to articles 35(1) GDPR:

8.2.1 Customer agreement

Control

The organization should ensure, where relevant, that the contract to process PII addresses the organization’s role in providing assistance with the customer’s obligations (taking into account the nature of processing and the information available to the organization).

Implementation guidance

The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):

(EN) […]


to read the full text

Téacsanna gaolmhara

2. Rachaidh an rialaitheoir i gcomhairle leis an oifigeach cosanta sonraí, má tá ceann ceaptha, agus measúnú tionchair ar chosaint sonraí á dhéanamh.

2. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment.

3. An measúnú tionchair ar chosaint sonraí dá dtagraítear i mír 1, beidh gá leis go háirithe i gcásanna:

3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of:

(a) meastóireacht chórasach, chuimsitheach a bheith á déanamh ar na gnéithe pearsanta a bhaineann le daoine nádúrtha, ar measúnú é atá bunaithe ar phróiseáil uathoibrithe lena n-áirítear próifíliú, agus a mbeidh cinntí á mbunú air a mbeidh éifeachtaí dlíthiúla acu do dhuine nádúrtha nó a mbeidh éifeachtaí suntasacha comhchosúla acu ar an duine nádúrtha;

(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;

(b) próiseáil mhórscála ar chatagóirí speisialta de shonraí pearsanta dá dtagraítear in Airteagal 9(1), nó ar shonraí pearsanta a bhaineann le ciontuithe coiriúla agus cionta dá dtagraítear in Airteagal 10; nó

(b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or

Téacsanna gaolmhara
Téacsanna gaolmhara

(c) faireachán córasach mórscála ar limistéir atá inrochtana don phobal.

(c) a systematic monitoring of a publicly accessible area on a large scale.

Dlí Treoirlínte & Cásanna
Dlí Treoirlínte & Cásanna

4. Bunóidh an t-údarás maoirseachta liosta de na cineálacha oibríochtaí próiseála atá faoi réir an cheanglais maidir le measúnú tionchair ar chosaint sonraí a dhéanamh de bhun mhír 1 agus cuirfidh sé an liosta sin ar fáil don phobal. Cuirfidh an t-údarás maoirseachta na liostaí sin chuig an mBord dá dtagraítear in Airteagal 68.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

Téacsanna gaolmhara
Téacsanna gaolmhara

5. Féadfaidh an t-údarás maoirseachta liosta a leagan amach agus a chur ar fáil go poiblí de na cineálacha oibríochtaí próiseála nach gá measúnú tionchair ar chosaint sonraí a dhéanamh ina leith. Cuirfidh an t-údarás maoirseachta na liostaí sin chuig an mBord.

5. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the Board.

6. Sula nglacfar na liostaí dá dtagraítear i mír 4 agus i mír 5, cuirfidh an t-údarás inniúil maoirseachta an sásra comhsheasmhachta dá dtagraítear in Airteagal 63 i bhfeidhm i gcás ina bhfuil baint ag an liosta le gníomhaíochtaí próiseála a bhaineann le hearraí nó seirbhísí a chur ar fáil d’ábhair sonraí, nó a bhaineann le faireachán a dhéanamh ar iompar na ndaoine sin i mBallstáit éagsúla, nó i gcás ina bhfuil baint acu le gníomhaíochtaí próiseála a d’fhéadfadh cur isteach ar shaorghluaiseacht sonraí pearsanta san Aontas.

6. Prior to the adoption of the lists referred to in paragraphs 4 and 5, the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union.

Téacsanna gaolmhara
Téacsanna gaolmhara

7. Beidh an méid seo a leanas ar a laghad sa mheasúnú:

7. The assessment shall contain at least:

(a) tuairisc chórasach ar na hoibríochtaí próiseála atá beartaithe agus críocha na próiseála agus, más infheidhme, na leasanna dlisteanacha atá á saothrú ag an rialaitheoir;

(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;

Dlí Treoirlínte & Cásanna
Dlí Treoirlínte & Cásanna

(b) measúnú ar riachtanas agus comhréireacht na n-oibríochtaí próiseála i gcomhréir leis na críocha;

(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

(c) measúnú ar na rioscaí do chearta agus saoirsí na n-ábhar sonraí dá dtagraítear i mír 1; agus

(c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and

(d) na bearta a cheaptar a dhéanamh chun aghaidh a thabhairt ar na rioscaí, lena n-áirítear coimircí, bearta slándála agus sásraí chun cosaint sonraí pearsanta a áirithiú agus chun a thaispeáint go bhfuil an Rialachán seo á chomhlíonadh, cearta agus leasanna dlisteanacha ábhar sonraí agus daoine eile lena mbaineann á gcur san áireamh.

(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

8. Maidir leis na rialaitheoirí agus na próiseálaithe ábhartha a bheith ag comhlíonadh na gcód iompair formheasta dá dtagraítear in Airteagal 40, cuirfear é sin san áireamh agus measúnú á dhéanamh ar thionchar na n-oibríochtaí próiseála a dhéanann na rialaitheoirí nó na próiseálaithe sin, go háirithe chun críocha measúnú tionchair ar chosaint sonraí.

8. Compliance with approved codes of conduct referred to in Article 40 by the relevant controllers or processors shall be taken into due account in assessing the impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment.

Téacsanna gaolmhara
Téacsanna gaolmhara

9. I gcás inarb iomchuí, iarrfaidh an rialaitheoir ar ábhair sonraí nó ar a n-ionadaithe a dtuairimí a thabhairt maidir leis an bpróiseáil atá beartaithe, gan dochar do chosaint leasanna tráchtála nó poiblí ná do shlándáil oibríochtaí próiseála.

9. Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of processing operations.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 35(9) GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

10. I gcás ina bhfuil bunús dlí ag an bpróiseáil de bhun phointe (c) nó (e) d’Airteagal 6(1) i ndlí an Aontais nó i ndlí Ballstáit ar faoina réir atá an rialaitheoir, agus go rialaíonn an dlí sin an oibríocht próiseála shonrach nó an sraith d’oibríochtaí atá i gceist, agus ina bhfuil measúnú tionchair ar chosaint sonraí déanta cheana mar chuid de mheasúnú ginearálta tionchair i gcomhthéacs ghlacadh an bhunúis dlí sin, ní bheidh feidhm ag mír 1 go mír 7, mura measann na Ballstáit go bhfuil sé riachtanach measúnú den sórt sin a dhéanamh sula rachfar i mbun na ngníomhaíochtaí próiseála.

10. Where processing pursuant to point (c) or (e) of Article 6(1) has a legal basis in Union law or in the law of the Member State to which the controller is subject, that law regulates the specific processing operation or set of operations in question, and a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis, paragraphs 1 to 7 shall not apply unless Member States deem it to be necessary to carry out such an assessment prior to processing activities.

Téacsanna gaolmhara
Téacsanna gaolmhara

11. I gcás inar gá, déanfaidh an rialaitheoir athbhreithniú chun a mheas an bhfuil an phróiseáil á déanamh i gcomhréir leis an measúnú tionchair ar chosaint sonraí, ar a laghad nuair a bhíonn athrú sa riosca a bhaineann le hoibríochtaí próiseála.

11. Where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations.

An Rialachán Ginearálta maidir le Cosaint Sonraí (RGCS, GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Recitals Dlí Treoirlínte & Cásanna Leave a comment
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 35 GDPR:

7.2.5 Privacy impact assessment

Control

The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.

Implementation guidance

PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment.

(EN) […]


to read the full text

Recitals

(75) Maidir leis na rioscaí i dtaca le cearta agus saoirsí daoine nádúrtha, ar rioscaí iad lena ngabhann dóchúlacht agus déine éagsúil, mar thoradh ar phróiseáil sonraí pearsanta as damáiste fisiciúil, ábhartha nó neamhábhartha, go háirithe sna cásanna seo a leanas: i gcás ina n-eascródh idirdhealú, goid aitheantais nó calaois aitheantais, caillteanas airgeadais, damáiste don chlú, caillteanas rúndacht na sonraí pearsanta sin atá faoi chosaint de réir rúndacht ghairmiúil, aisiompú neamhúdaraithe cur i bhfeidhm ainm bréige, nó aon mhíbhuntáiste eacnamaíoch nó sóisialta eile atá suntasach as an bpróiseáil; i gcás ina bhféadfadh sé go ndéanfaí cearta agus saoirsí na n-ábhar sonraí a cheilt orthu nó go gcoisfí iad ó rialú a dhéanamh ar fheidhmiú a gcuid sonraí pearsanta; i gcás ina ndéantar próiseáil ar shonraí pearsanta lena léirítear tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, ballraíocht i gceardchumann, agus próiseáil sonraí géiniteacha, sonraí a bhaineann leis an tsláinte nó sonraí a bhaineann le saol gnéis nó le ciontuithe coiriúla agus cionta nó le bearta slándála gaolmhara; i gcás ina ndéantar meastóireacht ar ghnéithe pearsanta, go háirithe anailísiú nó tuar ar ghnéithe maidir le feidhmiú ag an obair, maidir leis an staid eacnamaíoch, sláinte, roghanna nó leas pearsanta, iontaofacht nó iompraíocht, suíomh nó gluaiseachtaí, chun próifílí pearsanta a chruthú nó a úsáid; i gcás ina ndéantar próiseáil ar shonraí pearsanta daoine nádúrtha leochaileacha, go háirithe leanaí; nó i gcás ina bhfuil cainníocht mhór sonraí pearsanta i gceist leis an bpróiseáil agus ina mbíonn tionchar ag an bpróiseáil sin ar líon mór ábhar sonraí.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(84) D'fhonn feabhas a chur ar chomhlíonadh an Rialacháin seo, i gcás inar dócha, leis na hoibríochtaí próiseála, go mbeadh ardriosca ann i dtaca le cearta agus saoirsí na ndaoine nádúrtha, ba cheart don rialaitheoir a bheith freagrach as measúnú tionchair ar chosaint sonraí a dhéanamh chun meastóireacht a dhéanamh go háirithe ar thionscnamh, ar chineál, ar leithleachas agus ar dhéine an riosca sin. Ba cheart toradh an mheasúnaithe a chur san áireamh agus na bearta iomchuí á gcinneadh, ar bearta iad a dhéantar chun a thaispeáint go gcomhlíonann an phróiseáil a dhéantar ar shonraí pearsanta an Rialachán seo. I gcás ina léirítear le measúnú tionchair ar chosaint sonraí go mbaineann ardriosca le hoibríochtaí próiseála nach féidir leis an rialaitheoir a mhaolú trí bhearta iomchuí ó thaobh na teicneolaíochta atá ar fáil agus na gcostas a bhaineann leis an gcur chun feidhme, ba cheart dul i gcomhairle leis an údarás maoirseachta sula ndéantar an phróiseáil.

(84) In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing.

(89) I dTreoir 95/46/CE rinneadh foráil maidir le hoibleagáid ghinearálta chun fógra a thabhairt do na húdaráis mhaoirseachta faoin bpróiseáil a dhéantar ar shonraí pearsanta. Cé go mbaineann ualaí riaracháin agus airgeadais leis an oibleagáid sin, níor chuidigh sí i gcónaí le cosaint sonraí pearsanta a fheabhsú. Dá bhrí sin, ba cheart oibleagáidí ginearálta fánacha den sórt sin maidir le fógra a thabhairt a dhíothú, agus nósanna imeachta éifeachtacha agus sásraí éifeachtacha a chur ina n-ionad, ar nósanna imeachta agus sásraí iad lena gcuirfí béim ar na cineálacha oibríochtaí próiseála sin ar dócha go mbeadh ardriosca ag gabháil leo maidir le cearta agus le saoirsí daoine nádúrtha mar gheall ar chineál, ar raon feidhme, ar chomhthéacs agus ar chuspóirí na n-oibríochtaí sin. Áirítear i gcineálacha oibríochtaí próiseála den sórt sin, go háirithe, na hoibríochtaí sin lena mbaintear úsáid as teicneolaíochtaí nua, nó na cinn ar de chineál nua iad agus nach bhfuil measúnú tionchair ar chosaint sonraí déanta ag an rialaitheoir ina leith go fóill nó na cinn a bhfuil measúnú tionchair ar chosaint sonraí tagtha chun bheith riachtanach mar gheall ar an tréimhse ama a chuaigh thart ón uair a rinneadh an phróiseáil tosaigh i leith.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) I gcásanna den sórt sin, ba cheart don rialaitheoir measúnú tionchair a dhéanamh ar an gcosaint sonraí sula ndéanfar an phróiseáil, d'fhonn dóchúlacht faoi leith agus déine faoi leith an ardriosca sin a mheasúnú, agus cineál, raon feidhme, comhthéacs agus críocha na próiseála agus foinsí an riosca á gcur san áireamh. Ba cheart a chur san áireamh sa mheasúnú tionchair sin, go háirithe, na bearta, na coimircí agus na sásraí a bheartaítear leis an riosca sin a mhaolú, agus é á áirithiú go gcosnaítear sonraí pearsanta agus comhlíonadh an Rialacháin seo á thaispeáint.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(91) Ba cheart feidhm a bheith aige sin, go háirithe, maidir le hoibríochtaí próiseála ar mhórscála, lena ndírítear ar mhéid mór sonraí pearsanta a phróiseáil ar an leibhéal réigiúnach, náisiúnta nó fornáisiúnta agus a d'fhéadfadh tionchar a bheith acu ar líon mór ábhar sonraí agus ar dócha go mbaineann ardriosca leo, mar shampla, mar gheall ar a n-íogaireacht, i gcás ina ndéantar, i gcomhréir le staid an eolais teicneolaíochta a baineadh amach, teicneolaíocht nua a úsáid ar mhórscála chomh maith le hoibríochtaí próiseála eile, a ngabhann ardriosca do chearta agus do shaoirsí na n-ábhar sonraí leo, go háirithe i gcás ina mbíonn sé níos deacra d'ábhair sonraí a gcearta a fheidhmiú mar gheall ar na hoibríochtaí sin. Ba cheart measúnú tionchair ar chosaint sonraí a dhéanamh freisin i gcás ina bpróiseáiltear sonraí pearsanta chun cinntí maidir le daoine sonracha nádúrtha a ghlacadh tar éis aon mheastóireacht chórasach agus chuimsitheach a dhéanamh ar ghnéithe pearsanta a bhaineann le daoine nádúrtha atá bunaithe ar na sonraí sin a phróifíliú nó tar éis catagóirí speisialta sonraí pearsanta, sonraí bithmhéadracha nó sonraí i ndáil le ciontuithe coiriúla agus le cionta nó le bearta slándála a phróiseáil. Éilítear measúnú tionchair ar chosaint sonraí freisin d'fhonn faireachán a dhéanamh, ar mhórscála, ar réimsí a bhfuil rochtain phoiblí orthu, go háirithe nuair atá feistí optacha leictreonacha á n-úsáid nó i gcomhair oibríochtaí eile ar bith ina meastar don údarás inniúil maoirseachta gur dócha go mbeadh ardriosca do chearta agus do shaoirsí na n-ábhar sonraí ag gabháil leis an bpróiseáil, go háirithe de bhrí go gcoisctear leo na hábhair sonraí ceart a fheidhmiú nó seirbhís nó conradh a úsáid, nó de bhrí go gcuirtear i gcrích iad go córasach nó ar mhórscála. Níor cheart a mheas gur ar mhórscála a dhéantar sonraí pearsanta a phróiseáil i gcás lia aonair, gairmí cúraim sláinte aonair nó dlíodóir aonair a dhéanann sonraí pearsanta othar nó cliant a phróiseáil. I gcásanna den sórt sin, níor cheart measúnú tionchair ar chosaint sonraí a bheith éigeantach.

(91) This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory.

(92) Tá cásanna áirithe ann ina bhféadfadh sé go mbeadh sé réasúnta agus tíosach go mbeadh an t-ábhar de mheasúnú tionchair ar chosaint sonraí níos leithne ná tionscadal amháin, i gcás, mar shampla, ina bhfuil sé beartaithe ag údaráis phoiblí nó comhlachtaí poiblí feidhmchlár coiteann nó clár coiteann próiseála a chur ar bun nó ina bhfuil sé beartaithe ag roinnt rialaitheoirí feidhmchlár coiteann nó timpeallacht choiteann próiseála a thabhairt isteach in earnáil tionscail nó i roinn tionscail trí chéile nó le haghaidh gníomhaíocht chothrománach atá in úsáid go forleathan.

(92) There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity.

(93) I gcomhthéacs ghlacadh an dlí Ballstáit ar a bhfuil comhlíonadh chúraimí an údaráis phoiblí nó an chomhlachta phoiblí bunaithe agus lena rialaítear an oibríocht shonrach próiseála nó sraith d'oibríochtaí i gceist, féadfaidh na Ballstáit a mheas gur gá measúnú den sórt sin a dhéanamh sula ndéantar na gníomhaíochtaí próiseála.

(93) In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities.

Dlí Treoirlínte & Cásanna Leave a comment
[js-disqus]