Više
Navigacija
POGLAVLJE I. Opće odredbe (1-4)
Članak 1.. Predmet i ciljeviČlanak 2.. Glavno područje primjeneČlanak 3.. Teritorijalno područje primjeneČlanak 4.. Definicije
POGLAVLJE II. Načela (5-11)
Članak 5.. Načela obrade osobnih podatakaČlanak 6.. Zakonitost obradeČlanak 7.. Uvjeti privoleČlanak 8.. Uvjeti koji se primjenjuju na privolu djeteta u odnosu na usluge informacijskog društvaČlanak 9.. Obrada posebnih kategorija osobnih podatakaČlanak 10.. Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djelaČlanak 11.. Obrada koja ne zahtijeva identifikaciju
POGLAVLJE III. Prava ispitanika (12-23)
Članak 12.. Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanikaČlanak 13.. Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanikaČlanak 14.. Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanikaČlanak 15.. Pravo ispitanika na pristupČlanak 16.. Pravo na ispravakČlanak 17.. Pravo na brisanje („pravo na zaborav”)Članak 18.. Pravo na ograničenje obradeČlanak 19.. Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obradeČlanak 20.. Pravo na prenosivost podatakaČlanak 21.. Pravo na prigovorČlanak 22.. Automatizirano pojedinačno donošenje odluka, uključujući izradu profilaČlanak 23.. Ograničenja
POGLAVLJE IV. Voditelj obrade i izvršitelj obrade (24-43)
Članak 24.. Predmet i ciljeviČlanak 25.. Tehnička i integrirana zaštita podatakaČlanak 26.. Zajednički voditelji obradeČlanak 27.. Predstavnici voditeljâ obrade ili izvršitelja obrade koji nemaju poslovni nastan u UnijiČlanak 28.. Izvršitelj obradeČlanak 29.. Obrada pod vodstvom voditelja obrade ili izvršitelja obradeČlanak 30.. Evidencija aktivnosti obradeČlanak 31.. Suradnja s nadzornim tijelomČlanak 32.. Sigurnost obradeČlanak 33.. Izvješćivanje nadzornog tijela o povredi osobnih podatakaČlanak 34.. Obavješćivanje ispitanika o povredi osobnih podataka
Članak 35.. Procjena učinka na zaštitu podataka
Članak 36.. Prethodno savjetovanjeČlanak 37.. Imenovanje službenika za zaštitu podatakaČlanak 38.. Radno mjesto službenika za zaštitu podatakaČlanak 39.. Zadaće službenika za zaštitu podatakaČlanak 40.. Kodeksi ponašanjaČlanak 41.. Praćenje odobrenih kodeksa ponašanjaČlanak 42.. CertificiranjeČlanak 43.. Certifikacijska tijela
POGLAVLJE V. Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama (44-50)
Članak 44.. Opća načela prijenosaČlanak 45.. Prijenosi na temelju odluke o primjerenostiČlanak 46.. Prijenosi koji podliježu odgovarajućim zaštitnim mjeramaČlanak 47.. Obvezujuća korporativna pravilaČlanak 48.. Prijenos ili otkrivanje podataka koji nisu dopušteni u pravu UnijeČlanak 49.. Odstupanja za posebne situacijeČlanak 50.. Međunarodna suradnja s ciljem zaštite osobnih podataka
POGLAVLJE VI. Neovisna nadzorna tijela (51-59)
Članak 51.. Nadzorno tijeloČlanak 52.. NeovisnostČlanak 53.. Opći uvjeti za članove nadzornog tijelaČlanak 54.. Pravila za osnivanje nadzornog tijelaČlanak 55.. NadležnostČlanak 56.. Nadležnost vodećeg nadzornog tijelaČlanak 57.. ZadaćeČlanak 58.. OvlastiČlanak 59.. Izvješća o aktivnostima
POGLAVLJE VII. Suradnja i konzistentnost (60-70)
Članak 60.. Suradnja vodećeg nadzornog tijela i drugih predmetnih nadzornih tijelaČlanak 61.. Uzajamna pomoćČlanak 62.. Zajedničke operacije nadzornih tijelaČlanak 63.. Mehanizam konzistentnostiČlanak 64.. Mišljenje OdboraČlanak 65.. Rješavanje sporova pri OdboruČlanak 66.. Hitni postupakČlanak 67.. Razmjena informacijaČlanak 68.. Europski odbor za zaštitu podatakaČlanak 69.. NeovisnostČlanak 70.. Zadaće OdboraČlanak 71.. IzvješćaČlanak 72.. PostupakČlanak 73.. PredsjednikČlanak 74.. Zadaće predsjednikaČlanak 75.. TajništvoČlanak 76.. Povjerljivost
POGLAVLJE VIII. Pravna sredstva, odgovornost i sankcije (77-84)
Članak 77.. Pravo na pritužbu nadzornom tijeluČlanak 78.. Pravo na učinkoviti pravni lijek protiv nadzornog tijelaČlanak 79.. Pravo na učinkoviti pravni lijek protiv voditelja obrade ili izvršitelja obradeČlanak 80.. Zastupanje ispitanikaČlanak 81.. Suspenzija postupkaČlanak 82.. Pravo na naknadu štete i odgovornostČlanak 83.. Opći uvjeti za izricanje upravnih novčanih kazniČlanak 84.. Sankcije
POGLAVLJE IX. Odredbe u vezi s posebnim situacijama obrade (85-91)
Članak 85.. Obrada i sloboda izražavanja i informiranjaČlanak 86.. Obrada i javni pristup službenim dokumentimaČlanak 87.. Obrada nacionalnog identifikacijskog brojaČlanak 88.. Obrada u kontekstu zaposlenjaČlanak 89.. Zaštitne mjere i odstupanja vezano za obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrheČlanak 90.. Obveze tajnostiČlanak 91.. Postojeća pravila o zaštiti podataka crkava i vjerskih udruženja
POGLAVLJE X. Delegirani akti i provedbeni akti (92-93)
Članak 92.. Izvršavanje delegiranja ovlastiČlanak 93.. Postupak odbora
POGLAVLJE XI. Završne odredbe (94-95)
Članak 94.. Stavljanje izvan snage Direktive 95/46/EZČlanak 95.. Odnos s Direktivom 2002/58/EZČlanak 96.. Odnos s prethodno sklopljenim sporazumimaČlanak 97.. Izvješća KomisijeČlanak 98.. Preispitivanje drugih akata Unije o zaštiti podatakaČlanak 99.. Stupanje na snagu i primjena
GDPR > Članak 35.. Procjena učinka na zaštitu podataka
Preuzmite PDF

Članak 35. GDPR. Procjena učinka na zaštitu podataka

Article 35 GDPR. Data protection impact assessment

1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

ISO 27701 Vezani tekstovi
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to articles 35(1) GDPR:

8.2.1 Customer agreement

Control

The organization should ensure, where relevant, that the contract to process PII addresses the organization’s role in providing assistance with the customer’s obligations (taking into account the nature of processing and the information available to the organization).

Implementation guidance

The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):

(EN) […]


to read the full text

Vezani tekstovi

2. Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan.

2. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment.

3. Procjena učinka na zaštitu podataka iz stavka 1. obvezna je osobito u slučaju:

3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of:

(a) sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;

(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;

(b) opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili

(b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or

Vezani tekstovi
Vezani tekstovi

(c) sustavnog praćenja javno dostupnog područja u velikoj mjeri.

(c) a systematic monitoring of a publicly accessible area on a large scale.

Smjernice i sudska praksa
Smjernice i sudska praksa

4. Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1. Nadzorno tijelo priopćuje te popise Odboru iz članka 68.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

Vezani tekstovi
Vezani tekstovi

5. Nadzorno tijelo može također uspostaviti i javno objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka. Nadzorno tijelo priopćuje te popise Odboru.

5. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the Board.

6. Prije usvajanja popisa iz stavaka 4. i 5. nadležno nadzorno tijelo primjenjuje mehanizam konzistentnosti iz članka 63. kada takvi popisi obuhvaćaju aktivnosti obrade koje su povezane s ponudom robe ili usluga ispitanicima ili s praćenjem njihova ponašanja u nekoliko država članica ili koje mogu znatno utjecati na slobodno kretanje osobnih podataka unutar Unije.

6. Prior to the adoption of the lists referred to in paragraphs 4 and 5, the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union.

Vezani tekstovi
Vezani tekstovi

7. Procjena sadrži barem:

7. The assessment shall contain at least:

(a) sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade;

(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;

Smjernice i sudska praksa
Smjernice i sudska praksa

(b) procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;

(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

(c) procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i

(c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and

(d) mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

8. Poštovanje odobrenih kodeksa ponašanja iz članka 40. od strane relevantnih voditelja obrade ili izvršitelja obrade uzima se u obzir pri procjeni učinka postupaka obrade koje provode ti voditelji obrade ili izvršitelji obrade, posebno u svrhe procjene učinka na zaštitu podataka.

8. Compliance with approved codes of conduct referred to in Article 40 by the relevant controllers or processors shall be taken into due account in assessing the impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment.

Vezani tekstovi
Vezani tekstovi

9. Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili sigurnost postupka obrade.

9. Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of processing operations.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 35(9) GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

10. Ako obrada u skladu s člankom 6. stavkom 1. točkom (c) ili (e) ima pravnu osnovu u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, ako su tim pravom uređuju posebni postupci obrade ili skupina dotičnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka u kontekstu donošenja pravne osnove, stavci od 1. do 7. ne primjenjuju se, osim ako države članice smatraju da je potrebnoprovesti takvu procjenu prije aktivnosti obrade.

10. Where processing pursuant to point (c) or (e) of Article 6(1) has a legal basis in Union law or in the law of the Member State to which the controller is subject, that law regulates the specific processing operation or set of operations in question, and a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis, paragraphs 1 to 7 shall not apply unless Member States deem it to be necessary to carry out such an assessment prior to processing activities.

Vezani tekstovi
Vezani tekstovi

11. Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.

11. Where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations.

Opća uredba o zaštiti podataka (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Uvodne izjave Smjernice i sudska praksa Ostavite komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 35 GDPR:

7.2.5 Privacy impact assessment

Control

The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.

Implementation guidance

PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment.

(EN) […]


to read the full text

Uvodne izjave

(75) Rizik za prava i obveze pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(84) Radi poboljšanja sukladnosti s ovom Uredbom kada postupci obrade vjerojatno mogu dovesti do visokog stupnja rizika za prava i slobode pojedinaca, voditelj obrade trebao bi biti odgovoran za provođenje procjene učinka na zaštitu podataka kako bi se osobito procijenili izvor, priroda, osobitost i ozbiljnost tog rizika. Ishod procjene trebao bi se uzeti u obzir pri utvrđivanju odgovarajućih mjera radi dokazivanja da je obrada osobnih podataka sukladna s ovom Uredbom. Ako se u procjeni učinka na zaštitu podataka pokaže da postupci obrade uključuju visok rizik koji voditelj obrade ne može umanjiti odgovarajućim mjerama u smislu dostupne tehnologije i troškova provedbe, prije obrade trebalo bi se savjetovati s nadzornim tijelom.

(84) In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing.

(89) Direktivom 95/46/EZ predviđena je opća obveza izvješćivanja nadzornih tijela o obradi osobnih podataka. Nametanjem te obveze stvara se administrativni i financijski teret, a ona nije u svim slučajevima dovela do poboljšanja zaštite osobnih podataka. Trebalo bi, stoga, ukinuti takve sveobuhvatne obveze općeg obavješćivanja i zamijeniti ih djelotvornim postupcima i mehanizmima koji se umjesto toga usredotočuju na one vrste postupaka obrade koji vjerojatno mogu prouzročiti visok rizik za prava i slobode pojedinaca zbog svoje prirode, opsega, konteksta i svrha. Takve vrste postupaka obrade mogu biti osobito one koje uključuju upotrebu novih tehnologija ili one koje su nove vrste i s obzirom na koje voditelj obrade još nije proveo procjenu učinka na zaštitu podataka ili za koje je procjena učinka na zaštitu podataka postala potrebna s obzirom na vrijeme koje je proteklo od prvotne obrade.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) U takvim slučajevima, voditelj obrade trebao bi provesti procjenu učinka na zaštitu podataka prije obrade radi procjene osobite vjerojatnosti i ozbiljnosti visokog rizika, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te izvore rizika. Ta bi procjena učinka trebala posebno uključivati mjere, zaštitne mjere i mehanizme predviđene za umanjivanje tog rizika, za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(91) To bi se osobito trebalo primjenjivati na postupke obrade velikog opsega kojima se nastoji obraditi znatna količina osobnih podataka na regionalnoj, nacionalnoj ili nadnacionalnoj razini i koji bi mogli utjecati na velik broj ispitanika i koji će vjerojatno dovesti do visokog rizika, primjerice zbog osjetljivosti, u kojima se u skladu s postignutom razinom tehnološkog znanja novom tehnologijom koristi u velikom opsegu, kao i na druge postupke obrade koji dovode do visokog rizika za prava i slobode ispitanika, osobito ako ti postupci ispitanicima otežavaju ostvarenje njihovih prava. Procjena učinka na zaštitu podataka osobito bi se trebala provoditi kada se osobni podaci obrađuju radi donošenja odluka o određenim pojedincima na temelju bilo kakve sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na izradi profila iz tih podataka ili na temelju obrade posebnih kategorija osobnih podataka, biometrijskih podataka ili podataka o kaznenim osudama i kažnjivim djelima ili povezanim mjerama sigurnosti. Procjena učinka na zaštitu podataka jednako je potrebna za opsežno praćenje javno dostupnih područja, posebno ako se upotrebljavaju optičko-elektronički uređaji, ili za bilo koje druge postupke za koje nadležno nadzorno tijelo smatra će obrada vjerojatno dovesti do visokog rizika za prava i slobode ispitanika, osobito zato što se njima ispitanike sprečava u ostvarivanju prava ili upotrebi usluge ili ugovora, ili zato što se opsežna obrada provodi sustavno. Obradu osobnih podataka ne bi trebalo smatrati opsežnom ako se odnosi na osobne podatke pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika. U takvim slučajevima procjena učinka na zaštitu podataka ne bi trebala biti obvezna.

(91) This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory.

(92) U nekim okolnostima može biti razumno i ekonomično da procjena učinka na zaštitu podataka obuhvaća više od jednog projekta i tematski šire područje, na primjer ako tijela javne vlasti ili javna tijela namjeravaju uspostaviti zajedničku aplikaciju ili platformu za obradu ili ako nekoliko voditelja obrade namjerava uvesti zajedničku aplikaciju ili okruženje za obradu u cijeli jedan industrijski sektor ili segment ili za horizontalnu djelatnost široke uporabe.

(92) There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity.

(93) U kontekstu donošenja zakonodavstva države članice na kojem se temelji izvršavanje zadaća tijela javne vlasti ili javnog tijela i kojim se uređuju dotični posebni postupci obrade ili skup postupaka, države članice mogu smatrati potrebnom provedbu takve procjene prije obrade.

(93) In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities.

Smjernice i sudska praksa Ostavite komentar
[js-disqus]