Главная > Статья 35. Оценка воздействия на защиту персональных данных
Скачать в PDF

Статья 35 GDPR. Оценка воздействия на защиту персональных данных

Article 35 GDPR. Data protection impact assessment

1. Если какой-либо вид обработки, в особенности с использованием новых технологий, с точки зрения своей природы, масштаба, контекста и цели, ожидаемо приведет к высокому риску для прав и свобод физических лиц, контролёр перед обработкой должен провести оценку воздействия планируемых операций обработки на защиту персональных данных. Применительно к набору схожих операций обработки данных, которые представляют схожий высокий риск, может быть проведена единая оценка.

1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

ISO 27701

2. При проведении оценки воздействия на защиту персональных данных, контролёр должен проконсультироваться с инспектором по защите персональных данных, если тот был назначен.

2. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment.

3. Оценка воздействия на защиту персональных данных, указанная в параграфе 1, требуется, в частности, в случае:

3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of:

(a) систематической и комплексной оценки определенных личных аспектов физических лиц, которая основана на автоматизированной обработке, в том числе профилировании, и является основанием для решений, порождающих правовые последствия для физического лица или схожим образом существенно влияющих на физическое лицо;

(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;

(b) крупномасштабной обработки особых категорий персональных данных, указанных в статье 9(1), или персональных данных, относящихся к судимостям и правонарушениям, приведенных в статье 10; или

(b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or

Связи

(c) систематического мониторинга общедоступных мест в крупных масштабах.

(c) a systematic monitoring of a publicly accessible area on a large scale.

4. Надзорный орган должен установить и обнародовать список видов операций по обработке, для которых требуется оценка воздействия на защиту персональных данных в соответствии с параграфом 1. Надзорный орган должен предоставить данные списки Европейскому совету по защите персональных данных, о котором говорится в статье 68.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

Связи

5. Надзорный орган может также установить и обнародовать список видов операций по обработке, для которых оценка воздействия на защиту данных не требуется. Надзорный орган должен предоставить данные списки Европейскому совету по защите персональных данных.

5. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the Board.

6. До утверждения списков, упомянутых в параграфах 4 и 5, компетентный надзорный орган должен применить механизм согласованности, указанный в статье 63, если указанные списки включают деятельность по обработке, связанную с предложением товаров или услуг субъектам данных, или с мониторингом их поведения в нескольких государствах-членах, или могут существенно сказаться на свободном движении персональных данных внутри Союза.

6. Prior to the adoption of the lists referred to in paragraphs 4 and 5, the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union.

Связи

7. Оценка должна включать в себя, по меньшей мере:

7. The assessment shall contain at least:

(a) системное описание планируемых операций по обработке, а также целей обработки, в том числе, в соответствующих случаях – легитимного интереса, преследуемого контролёром;

(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;

(b) оценку необходимости и пропорциональности операций по обработке в отношении целей;

(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

(c) оценку рисков для прав и свобод субъектов данных, о которых идет речь в параграфе 1; и

(c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and

(d) меры, запланированные для устранения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных и для подтверждения соблюдения данного Регламента с учетом прав и легитимный интересов субъектов данных и других заинтересованных лиц.

(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

8. Соблюдение соответствующими контролёрами и процессорами кодексов поведения, указанных в Статье 40, следует учитывать при оценке воздействия операций по обработке данных, проводимых этими контролёрами или процессорами, в частности для целей оценки воздействия на защиту персональных данных.

8. Compliance with approved codes of conduct referred to in Article 40 by the relevant controllers or processors shall be taken into due account in assessing the impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment.

Связи

9. В соответствующих случаях контролёр должен узнавать мнения субъектов данных или их представителей по поводу запланированной обработки, без ущерба для защиты коммерческих или общественных интересов или безопасности операций по обработке.

9. Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of processing operations.

ISO 27701

10. Если правовое основание для обработки согласно пунктам (c) или (e) Статьи 6(1) вытекает из законодательства Союза или государства-члена, под действие которого подпадает контролёр, и данное законодательство регулирует определенную операцию по обработке или набор таких операций, и оценка воздействия на защиту данных уже была проведена как часть общей оценки воздействия в контексте утверждения этого правового основания, параграфы 1 — 7 не применяются кроме случаев, когда государства-члены считают необходимым проводить указанную оценку до осуществления деятельности по обработке.

10. Where processing pursuant to point (c) or (e) of Article 6(1) has a legal basis in Union law or in the law of the Member State to which the controller is subject, that law regulates the specific processing operation or set of operations in question, and a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis, paragraphs 1 to 7 shall not apply unless Member States deem it to be necessary to carry out such an assessment prior to processing activities.

Связи

11. В случае необходимости, и как минимум, когда изменяется риск, сопряженный с операциями по обработке, контролёр должен осуществить проверку, чтобы определить, выполняется ли обработка в соответствии с оценкой воздействия на защиту персональных данных.

11. Where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations.

ISO 27701 Преамбулы Разъяснения и прецеденты Оставьте комментарий
ISO 27701
Преамбулы

(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.

(85) Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может повлечь физический, материальный или моральный вред физическим лицам, как, например, потеря контроля над их персональными данными или ограничение их прав, дискриминация, кража личности или ее мошенническое использование, финансовые потери, несанкционированная повторная идентификация псевдонимизированных данных, ущерб репутации, нарушение конфиденциальности персональных данных, защищенных профессиональной тайной, или любой другой значительный экономический или социальный вред, нанесенный физическому лицу. Поэтому, как только контролёру становится известно о нарушении безопасности персональных данных, он обязан уведомить о таком нарушении надзорный орган без неоправданной задержки и, по возможности, не позднее 72 часов, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц. В случаях, когда подобное уведомление не может быть сделано в течение 72 часов, причины такой задержки должны сопровождать уведомление и информация может предоставляться поэтапно без дополнительной задержки.

(84) В целях улучшения соблюдения настоящего Регламента в случаях, когда операции по обработки с большой вероятностью могут представлять высокие риски правам и свободам физических лиц, контролёр должен нести ответственность за проведение оценки воздействия на защиту персональных данных для того, чтобы оценить, в частности, источник, характер, специфику и серьезность этого риска. Результаты оценки должны быть приняты во внимание при определении соответствующих мер, которые необходимо принять, чтобы подтвердить, что обработка персональных данных осуществляется в соответствии с настоящим Регламентом. Если оценка воздействия на защиту персональных данных указывает на то, что операции по обработке приводят к высокому риску, который контролёр не может уменьшить соответствующими мерами с точки зрения имеющихся технологий и стоимости реализации, консультация надзорного органа должна быть проведена до начала обработки.

(84) In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing.

(89) Директива 95/46/ЕС предусматривала общее обязательство по уведомлению надзорных органов об обработке персональных данных. Поскольку указанная обязанность связана с административной и финансовой нагрузкой, она не всегда содействовала улучшению защиты персональных данных. Поэтому такие неизбирательные общие обязательства по уведомлению должны быть отменены и заменены эффективными процедурами и механизмами, в которых основное внимание уделяется тем видам операций по переработке, которые с большой вероятностью могут привести к высокому риску для прав и свобод физических лиц в силу их характера, сферы охвата, контекстом и целями. Такими видами операций обработки могут быть те, которые, в частности, связаны с использованием новых технологий или которые сами по себе являются новыми, и когда контролёром раньше не проводилась оценка воздействия защиты данных или если они необходимы с учетом времени, которое прошло с момента первоначальной обработки.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) В таких случаях оценка воздействия на защиту персональных данных должна быть проведена контролёром до начала обработки для того, чтобы оценить вероятность и серьезность высоты риска, принимая во внимание характер, сферу охвата, контекст и цели обработки, а также источники риска. Такая оценка воздействия должна включать в себя, в частности, меры, гарантии и механизмы, предусмотренные для минимизации этого риска, обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(91) Это должно применяться, в частности, для масштабных операций по обработке, которые направлены на обработку большого количества персональных данных на региональном, национальном и наднациональном уровнях, и которая может повлиять на большое число субъектов данных, а также привести к высокой степени риска, например, вследствие их чувствительности, когда в соответствии с достигнутым уровнем технологических знаний используется новая технология в широких масштабах, также как к другим операциям по обработке, которые сопряжены с высоким риском для прав и свобод субъектов данных, в частности когда такие операции затрудняют для субъектов данных осуществление их прав. Оценка воздействия на защиту персональных данных должна проводиться также тогда, когда персональные данные обрабатываются для принятия решений в отношении конкретных физических лиц после любой систематической и обширной оценки личностных характеристик, относящихся к физическому лицу, на основе профилирования таких данных или после обработки специальных категорий персональных данных (чувствительных персональных данных), биометрических данных, либо данные о судимостях и правонарушениях, связанных с ними мерах безопасности. Оценка воздействия на защиту персональных данных в равной степени требуется для мониторинга общедоступных широкомасштабных сфер, особенно при использовании оптоэлектронных устройств, а также для любой другой деятельности, когда компетентный надзорный орган полагает, что обработка с большой вероятностью приведет к высоким рискам для прав и свобод субъектов данных, в частности потому, что они препятствуют субъектам данных в осуществлении их прав, использовании услуги или договора, либо потому, что обработка осуществляется систематически в широком масштабе. Обработка персональных данных не должна рассматриваться как осуществляемая систематически в большом масштабе, если она относится к персональным данным пациентов или клиентов индивидуального лечащего врача, иного медицинского работника или юриста. В этих случаях оценка воздействия на защиту персональных данных не должна быть обязательной.

(91) This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory.

(92) Существуют обстоятельства, при которых может быть приемлемо и экономически целесообразно проводить оценку воздействия на защиту персональных данных больше чем на один проект, например, когда орган публичной власти или учреждение намерены установить общее приложение или платформу обработки, либо если несколько контролёров планируют ввести общее приложение или условия обработки для промышленного сектора или сегмента, либо для широко используемой равноправной деятельности.

(92) There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity.

(93) В контексте применения права государства-члена, на основе которого орган публичной власти или государственная организация осуществляют свои задачи и которое регулирует конкретный вид обработки или ряд соответствующих обработок, государства-члены могут счесть необходимым провести указанную оценку до осуществления обработки.

(93) In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities.

Разъяснения и прецеденты Оставьте комментарий