Artikolu 35 📖 RĠPD (GDPR). Valutazzjoni tal-impatt fuq il-protezzjoni tad-data| GDPR-Text.com

Artikolu 35 RĠPD (GDPR). Valutazzjoni tal-impatt fuq il-protezzjoni tad-data

1. Fejn tip ta’ pproċessar, b’mod partikolari bl-użu ta’ teknoloġiji ġodda, u waqt li jittieħed kont tan-natura, l-ambitu, il-kuntest u l-finijiet tal-ipproċessar, x’aktarx jirriżulta f’livell għoli ta’ riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur għandu, qabel l-ipproċessar, iwettaq valutazzjoni tal-impatt tal-attivitajiet ta’ pproċessar previsti fuq il-protezzjoni tad-data personali. Valutazzjoni waħda tista’ tindirizza sett ta’ operazzjonijiet tal-ipproċessar simili li jippreżentaw riskji għolja simili.

ISO 27701 Testi relatati

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to articles 35(1) GDPR:

8.2.1 Customer agreement

Control

The organization should ensure, where relevant, that the contract to process PII addresses the organization’s role in providing assistance with the customer’s obligations (taking into account the nature of processing and the information available to the organization).

Implementation guidance

The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):

(EN) […]

(EN) Sign in
to read the full text

Testi relatati

2. Il-kontrollur għandu jfittex il-parir tal-uffiċjal tal-protezzjoni tad-data, fejn ikun maħtur, meta jwettaq valutazzjoni tal-impatt fuq il-protezzjoni tad-data.

3. Valutazzjoni tal-impatt fuq il-protezzjoni tad-data msemmija fil-paragrafu 1 għandha b’mod partikolari tkun meħtieġa fil-każ ta’:

(a) evalwazzjoni sistematika u estensiva tal-aspetti personali relatati ma’ persuni fiżiċi, li hija bbażata fuq l-ipproċessar awtomatizzat, inkluż it-tfassil tal-profili, u li fuqhom huma bbażati deċiżjonijiet li jipproduċu effetti legali li jikkonċernaw lill-persuna fiżika jew li jaffettwaw b’mod sinifikanti b’mod simili lill-persuna fiżika;

(b) l-ipproċessar fuq skala kbira ta’ kategoriji speċjali ta’ data msemmija fl-Artikolu 9(1), jew ta’ data personali relatata ma’ kundanni kriminali u reati msemmija fl-Artikolu 10; jew

Testi relatati

Artikolu 9 RĠPD (GDPR). Ipproċessar ta' kategoriji speċjali ta' data personali

1. L-ipproċessar ta’ data personali, li jiżvela oriġini razzjali jew etnika, opinjonijiet politiċi, twemmin reliġjuż jew filosofiku, jew sħubija fi trade union, u l-ipproċessar ta’ data ġenetika, data bijometrika sabiex tidentifika b’mod uniku persuna fiżika, data dwar is-saħħa jew data dwar il-ħajja sesswali u l-orjentazzjoni sesswali ta’ persuna fiżika huma projbiti.

[…]

Artikolu 10 RĠPD (GDPR). Ipproċessar ta' data personali relatata ma' kundanni kriminali u reati

L-ipproċessar ta’ data personali relatata ma’ kundanni kriminali u reati jew relatata ma’ miżuri ta’ sigurtà abbażi tal-Artikolu 6(1) għandu jsir biss taħt il-kontroll ta’ awtorità uffiċjali jew meta l-ipproċessar ikun awtorizzat minn liġi tal-Unjoni jew liġi ta’ Stat Membru li tipprevedi salvagwardji xierqa għad-drittijiet u l-libertajiet tas-suġġetti tad-data. Kwalunkwe reġistru komprensiv ta’ kundanni kriminali għandu jinżamm biss taħt il-kontroll ta’ awtorità uffiċjali.

(c) il-monitoraġġ sistematiku ta’ żona aċċessibbli għall-pubbliku fuq skala kbira.

Linji ta 'Gwida & Ġurisprudenza

(EN)

Documents

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

4. L-awtorità superviżorja għandha tistabbilixxi u tippubblika lista tat-tipi ta’ attivitajiet ta’ pproċessar li huma soġġetti għat-talba ta’ valutazzjoni tal-impatt fuq il-protezzjoni tad-data skont il-paragrafu 1. L-awtorità superviżorja għandha tikkomunika dawk il-listi lill-Bord imsemmi fl-Artikolu 68.

Testi relatati

Artikolu 68 RĠPD (GDPR). Bord Ewropew għall-Protezzjoni tad-Data

1. Il-Bord Ewropew għall-Protezzjoni tad-Data (il-“Bord”) huwa b’dan stabbilit bħala korp tal-Unjoni u jkollu personalità ġuridika.

2. Il-Bord għandu jkun rappreżentat mill-President tiegħu.

3. Il-Bord għandu jkun magħmul mill-kap ta’ awtorità superviżorja ta’ kull Stat Membru u mill-Kontrollur Ewropew għall-Protezzjoni tad-Data, jew ir-rappreżentanti rispettivi tagħhom.

4. Fejn fi Stat Membru jkun hemm aktar minn awtorità superviżorja waħda responsabbli għall-monitoraġġ tal-applikazzjoni tad-dispożizzjonijiet skont dan ir-Regolament, għandu jinħatar rappreżentant konġunt f’konformità mal-liġi ta’ dak l-Istat Membru.

5. Il-Kummissjoni għandu jkollha d-dritt li tipparteċipa fl-attivitajiet u l-laqgħat tal-Bord mingħajr dritt tal-vot. Il-Kummissjoni għandha taħtar rappreżentant. Il-President tal-Bord għandu jikkomunika lill-Kummissjoni l-attivitajiet tal-Bord.

6. Fil-każijiet imsemmija fl-Artikolu 65, il-Kontrollur Ewropew għall-Protezzjoni tad-Data għandu drittijiet tal-vot biss fuq deċiżjonijiet li jikkonċernaw il-prinċipji u r-regoli applikabbli għall-istituzzjonijiet, il-korpi, l-uffiċċji, u l-aġenziji tal-Unjoni li jikkorrispondu fis-sustanza ma’ dawk ta’ dan ir-Regolament.

5. L-awtorità superviżorja tista’ wkoll tistabbilixxi u tippubblika lista tat-tipi ta’ attivitajiet ta’ pproċessar li għalihom ma tkun meħtieġa l-ebda valutazzjoni tal-impatt fuq il-protezzjoni tad-data. L-awtorità superviżorja għandha tikkomunika dawn il-listi lill-Bord.

6. Qabel l-adozzjoni tal-listi msemmija fil-paragrafi 4 u 5, l-awtorità superviżorja kompetenti għandha tapplika l-mekkaniżmu ta’ konsistenza msemmi fl-Artikolu 63 fejn tali listi jinvolvu attivitajiet ta’ pproċessar li huma marbuta mal-offerta ta’ oġġetti jew servizzi lis-suġġetti tad-data jew għall-monitoraġġ tal-imġiba tagħhom f’diversi Stati Membri, jew li jista’ jaffettwa sostanzjalment il-moviment ħieles tad-data personali fl-Unjoni.

Testi relatati

Artikolu 63 RĠPD (GDPR). Mekkaniżmu ta' konsistenza

Artikolu 4 RĠPD (GDPR). Definizzjonijiet

Sabiex jikkontribwixxu għall-applikazzjoni konsistenti ta’ dan ir-Regolament fl-Unjoni kollha, l-awtoritajiet superviżorji għandhom jikkooperaw ma’ xulxin u, fejn rilevanti, mal-Kummissjoni, permezz tal-mekkaniżmu ta’ konsistenza kif stabbilit f’din it-Taqsima.

7. Il-valutazzjoni għandha tinkludi minn tal-inqas:

(a) deskrizzjoni sistematika tal-operazzjonijiet ta’ pproċessar previsti u l-iskopijiet tal-ipproċessar, inkluż fejn applikabbli l-interess leġittimu mfittex mill-kontrollur;

Linji ta 'Gwida & Ġurisprudenza

(EN)

Case law

CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).

(b) valutazzjoni tal-bżonn u l-proporzjonalità tal-operazzjonijiet ta’ pproċessar b’rabta mal-iskopijiet;

(c) valutazzjoni tar-riskji għad-drittijiet u l-libertajiet tas-suġġetti tad-data msemmija fil-paragrafu 1; u

(d) il-miżuri previsti biex jindirizzaw ir-riskji, inkluż is-salvagwardji, miżuri ta’ sigurtà u mekkaniżmi li jiżguraw il-protezzjoni ta’ data personali u li juru l-konformità ma’ dan ir-Regolament, filwaqt li jiġu kkunsidrati d-drittijiet u l-interessi leġittimi tas-suġġetti tad-data u persuni oħrajn ikkonċernati.

8. Il-konformità ma’ kodiċi ta’ kondotta approvati msemmija fl-Artikolu 40 mill-kontrolluri jew proċessuri rilevanti għandu jittieħed kont tagħhom fil-valutazzjoni tal-impatt tal-attivitajiet ta’ pproċessar imwettqa minn tali kontrolluri jew proċessuri, b’mod partikolari għall-finijiet ta’ valutazzjoni tal-impatt fuq il-protezzjoni tad-data.

Testi relatati

Artikolu 40 RĠPD (GDPR). Kodiċijiet ta' kondotta

9. Fejn xieraq, il-kontrollur għandu jfittex il-fehmiet tas-suġġetti tad-data jew tar-rappreżentanti tagħhom dwar l-ipproċessar maħsub, mingħajr preġudizzju għall-protezzjoni ta’ interessi kummerċjali jew pubbliċi jew għas-sigurtà tal-attivitajiet ta’ pproċessar.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 35(9) GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]

(EN) Sign in
to read the full text

10. Fejn l-ipproċessar skont il-punt (c) jew (e) tal-Artikolu 6(1) ikollu bażi legali fil-liġi tal-Unjoni jew fil-liġi tal-Istat Membru li l-kontrollur huwa suġġett għaliha, u dik il-liġi tirregola l-operazzjoni jew is-sett ta’ operazzjonijiet ta’ pproċessar speċifiċi inkwistjoni, u tkun diġà ġiet imwettqa valutazzjoni tal-impatt fuq il-protezzjoni tad-data bħala parti minn valutazzjoni tal-impatt ġenerali fil-kuntest tal-adozzjoni ta’ dik il-bażi legali, il-paragrafi 1 sa 3 ma għandhomx japplikaw sakemm l-Istati Membri ma jqisux li jkun meħtieġ li ssir tali valutazzjoni qabel l-attivitajiet tal-ipproċessar.

Testi relatati

Artikolu 6 RĠPD (GDPR). Legalità tal-ipproċessar

1. L-ipproċessar għandu jkun legali biss jekk u safejn mill-inqas ikun japplika wieħed mill-punti li ġejjin:

[…]

(c) l-ipproċessar ikun meħtieġ għall-konformità ma’ obbligu legali li għalih huwa soġġett il-kontrollur;

[…]

(e) l-ipproċessar ikun meħtieġ għat-twettiq ta’ kompitu li jsir fl-interess pubbliku jew fl-eżerċizzju ta’ awtorità uffiċjali mogħtija lill-kontrollur;

11. Fejn meħtieġ, il-kontrollur għandu jwettaq rieżami biex jevalwa jekk l-ipproċessar ikunx qed isir f’konformità mal-valutazzjoni tal-impatt fuq il-protezzjoni tad-data mill-inqas meta jkun hemm bidla fir-riskju mill-operazzjonijiet ta’ pproċessar.

Regolament Ġenerali dwar il-Protezzjoni tad-Data (RĠPD, GDPR)

ISO 27701 Premessi Linji ta 'Gwida & Ġurisprudenza Ħalli kumment

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 35 GDPR:

7.2.5 Privacy impact assessment

Control

The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.

Implementation guidance

PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment.

(EN) […]

(EN) Sign in
to read the full text

Premessi

(75) Ir-riskji għad-drittijiet u l-libertajiet tal-persuni fiżiċi, bi probabbiltà u gravità li jvarjaw, jistgħu jirriżultaw mill-ipproċessar ta’ data personali li tista’ twassal għal dannu fiżiku, materjali jew mhux materjali, b’mod partikolari fejn l-ipproċessar jista’ jagħti lok għal diskriminazzjoni, serq ta’ identità jew frodi, telf finanzjarju, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità ta’ data personali protetta mis-segretezza professjonali, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, jew kwalunkwe żvantaġġ ekonomiku jew soċjali sinifikanti ieħor; jew fejn is-suġġetti tad-data jistgħu jiġu mċaħħda mid-drittijiet u l-libertajiet tagħhom jew impediti milli jeżerċitaw kontroll fuq id-data personali tagħhom; fejn tiġi pproċessata data personali li tiżvela l-oriġini razzjali jew etnika, l-opinjonijiet politiċi, it-twemmin reliġjuż jew filosofiku, is-sħubija fi trade union, u l-ipproċessar ta’ data ġenetika, data dwar is-saħħa jew data dwar il-ħajja sesswali jew kundanni kriminali u reati jew miżuri ta’ sigurtà relatati; fejn l-aspetti personali jiġu evalwati, b’mod partikolari l-analiżi jew it-tbassir ta’ aspetti rigward il-prestazzjoni fuq ix-xogħol, is-sitwazzjoni ekonomika, is-saħħa, il-preferenzi jew l-interessi personali, l-affidabbiltà jew l-imġiba, il-lokalizzazzjoni jew il-movimenti, sabiex jinħolqu jew jintużaw profili personali; fejn tiġi proċessata data personali ta’ persuni fiżiċi vulnerabbli, b’mod partikolari ta’ tfal; jew fejn l-ipproċessar jinvolvi ammont kbir ta’ data personali u jaffettwa numru kbir ta’ suġġetti tad-data.

(84) Sabiex tissaħħaħ il-konformità ma' dan ir-Regolament fejn l-attivitajiet ta' pproċessar x'aktarx li jippreżentaw livell għoli ta' riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur għandu jkun responsabbli għat-twettiq ta' valutazzjoni tal-impatt fuq il-protezzjoni tad-data biex jevalwa, b'mod partikolari, l-oriġini, in-natura, il-partikolarità u l-gravità ta' dak ir-riskju. L-eżitu tal-valutazzjoni għandu jiġi kkunsidrat meta jiġu stabbiliti l-miżuri adatti li għandhom jiġu meħuda biex jintwera li l-ipproċessar tad-data personali hu f'konformità ma' dan ir-Regolament. Fejn valutazzjoni tal-impatt fuq il-protezzjoni tad-data tindika li l-operazzjonijiet ta' pproċessar jinvolvu riskju għoli li l-kontrollur ma jkunx jista' jtaffi permezz ta' miżuri xierqa f'termini tat-teknoloġija disponibbli u l-ispejjeż tal-implimentazzjoni, konsultazzjoni mal-awtorità superviżorja għandha sseħħ qabel l-ipproċessar.

(89) Id-Direttiva 95/46/KE pprevediet obbligu ġenerali biex jiġi nnotifikat l-ipproċessar tad-data personali lill-awtoritajiet superviżorji. Filwaqt li dak l-obbligu jipproduċi oneri amministrattivi u finanzjarji, ma kkontribwixxiex fil-każijiet kollha għat-titjib tal-protezzjoni tad-data personali. Tali obbligi ta' notifika ġenerali bla distinzjonijiet għandhom għalhekk jitneħħew, u jiġu sostitwiti minn proċeduri u mekkaniżmi effettivi li jiffokaw minflok fuq dawk it-tipi ta' attivitajiet ta' pproċessar li x'aktarx li jirriżultaw f'riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi minħabba n-natura, l-ambitu, il-kuntest u l-għanijiet tagħhom. Tali tipi ta' operazzjonijiet tal-ipproċessar jinkludu, b'mod partikolari, dawk li jinvolvu l-użu ta' teknoloġiji ġodda, jew dawk li huma ta' tip ġdid u li fir-rigward tagħhom il-kontrollur għadu ma wettaqx valutazzjoni tal-impatt fuq il-protezzjoni tad-data, jew fejn valutazzjoni tal-impatt fuq il-protezzjoni tad-data ssir meħtieġa minħabba ż-żmien li għadda mill-ipproċessar inizjali.

(90) F'tali każijiet, għandha ssir valutazzjoni tal-impatt fuq il-protezzjoni tad-data mill-kontrollur qabel l-ipproċessar sabiex jivvaluta l-probabbiltà partikolari u l-gravità tar-riskju għoli, b'kont meħud tan-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar u s-sorsi tar-riskju. Dik il-valutazzjoni tal-impatt għandha tinkludi b'mod partikolari l-miżuri, is-salvagwardji u l-mekkaniżmi previsti biex jittaffa dak ir-riskju, tiġi żgurata l-protezzjoni tad-data personali u tintwera l-konformità ma' dan ir-Regolament.

(91) Dan għandu b'mod partikolari japplika għal operazzjonijiet ta' pproċessar fuq skala kbira li huma maħsuba biex jipproċessaw ammont konsiderevoli ta' data personali fil-livell reġjonali, nazzjonali jew supranazzjonali u li jistgħu jaffettwaw għadd kbir ta' suġġetti tad-data u li x'aktarx jirriżultaw f'riskju għoli, pereżempju, minħabba s-sensittività tagħhom, fejn skont l-istat tal-għarfien teknoloġiku miksub tintuża teknoloġija ġdida fuq skala kbira kif ukoll għal operazzjonijiet tal-ipproċessar oħra li jirriżultaw f'riskju għoli għad-drittijiet u l-libertajiet tas-suġġetti tad-data, b'mod partikolari fejn dawk l-operazzjonijiet jagħmluha aktar diffiċli għas-suġġetti tad-data biex jeżerċitaw id-drittijiet tagħhom. Valutazzjoni tal-impatt fuq il-protezzjoni tad-data għandha ssir ukoll fejn id-data personali tiġi pproċessata għat-teħid ta' deċiżjonijiet dwar persuni fiżiċi speċifiċi wara kwalunkwe evalwazzjoni sistematika u estensiva tal-aspetti personali relatati ma' persuni fiżiċi bbażata fuq it-tfassil ta' profili bbażati fuq dik id-data jew wara l-ipproċessar ta' kategoriji speċjali ta' data personali, data bijometrika, jew data dwar kundanni kriminali u reati jew miżuri relatati ta' sigurtà. Valutazzjoni tal-impatt fuq il-protezzjoni tad-data hija bl-istess mod meħtieġa għall-monitoraġġ ta' żoni aċċessibbli għall-pubbliku fuq skala kbira, speċjalment meta jintuża apparat elettroniku ottiku jew għal kwalunkwe operazzjonijiet oħra fejn l-awtorità superviżorja kompetenti tqis li x'aktarx l-ipproċessar jirriżulta f'riskju għoli għad-drittijiet u l-libertajiet tas-suġġetti tad-data, b'mod partikolari minħabba li ma jippermettux lis-suġġetti tad-data jeżerċitaw dritt jew jużaw servizz jew kuntratt, jew minħabba li jsiru b'mod sistematiku fuq skala kbira. L-ipproċessar ta' data personali m'għandux jitqies li huwa fuq skala kbira jekk l-ipproċessar jikkonċerna data personali minn pazjenti jew klijenti minn tabib individwali, professjonist ieħor tal-kura tas-saħħa jew avukat individwali. F'tali każijiet, valutazzjoni tal-impatt fuq il-protezzjoni tad-data m'għandhiex tkun obbligatorja.

(92) Hemm ċirkostanzi li taħthom jista' jkun raġonevoli u ekonomiku li s-suġġett ta' valutazzjoni tal-impatt fuq il-protezzjoni tad-data jkun usa' minn proġett wieħed, pereżempju fejn l-awtoritajiet jew il-korpi pubbliċi jkollhom l-intenzjoni li jistabbilixxu applikazzjoni jew pjattaforma ta' pproċessar komuni jew fejn diversi kontrolluri jippjanaw li jintroduċu applikazzjoni jew ambjent ta' pproċessar komuni f'settur jew taqsima industrijali jew għal attività orizzontali li tintuża b'mod wiesa'.

(93) Fil-kuntest tal-adozzjoni tal-liġi ta' Stat Membru li fuqha jkun ibbażat it-twettiq tal-kompiti tal-awtorità pubblika jew tal-korp pubbliku u li tirregola l-operazzjoni jew sett ta' operazzjonijiet ta' pproċessar speċifiċi inkwistjoni, l-Istati Membri jistgħu jqisu neċessarju li jwettqu tali valutazzjoni qabel l-attivitajiet ta' pproċessar.

Linji ta 'Gwida & Ġurisprudenza

(EN)