Статья 35 📖 GDPR. Оценка воздействия на защиту персональных данных| GDPR-Text.com

Статья 35 GDPR. Оценка воздействия на защиту персональных данных

Article 35 GDPR. Data protection impact assessment

1. Если какой-либо вид обработки, в особенности с использованием новых технологий, с точки зрения своей природы, масштаба, контекста и цели, ожидаемо приведет к высокому риску для прав и свобод физических лиц, контролёр перед обработкой должен провести оценку воздействия планируемых операций обработки на защиту персональных данных. Применительно к набору схожих операций обработки данных, которые представляют схожий высокий риск, может быть проведена единая оценка.

1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

ISO 27701 Связанные статьи

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 35 GDPR:

8.2.1 Клиентское соглашение

Средство управления

Организация должна обеспечить, при необходимости, чтобы в договоре на обработку ПИИ учитывалась роль организации в предоставлении помощи по обязательствам клиента (принимая во внимание характер обработки и информацию, доступную для организации).

Руководство по внедрению

Контракт между организацией и клиентом должен включать, где это уместно, следующее и в зависимости от роли клиента (контроллер ПИИ или обработчик ПИИ) (этот список не является ни окончательным, ни исчерпывающим):

…

Войти
для доступа к полному тексту

Связанные статьи

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

2.1.3.3 «характер, масштаб, контекст и цели обработки»

2.1.3.3 «nature, scope, context and purpose of processing»

27. Иными словами, характер можно понимать как неотъемлемую[11] характеристику обработки. «Сфера действия» относится к размеру и направлению обработки. «Контекст» относится к обстоятельствам обработки, которые могут влиять на ожидания субъекта данных, в то время как «цель« относится к целям обработки.

28. In short, the concept of nature can be understood as the inherent[11] characteristics of the processing. The scope refers to the size and range of the processing. The context relates to the circumstances of the processing, which may influence the expectations of the data subject, while the purpose pertains to the aims of the processing.

_{[11] Примерами являются специальные категории персональных данных, автоматизированное принятие решений, дисбаланс властных отношений, непредсказуемая обработка, трудности для субъекта данных в осуществлении прав и т.д.}

_{[11] Examples are special categories personal data, automatic decision-making, skewed power relations, unpredictable processing, difficulties for the data subject to exercise the rights, etc.}

2. При проведении оценки воздействия на защиту персональных данных, контролёр должен проконсультироваться с инспектором по защите персональных данных, если тот был назначен.

2. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment.

3. Оценка воздействия на защиту персональных данных, указанная в параграфе 1, требуется, в частности, в случае:

3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of:

(a) систематической и комплексной оценки определенных личных аспектов физических лиц, которая основана на автоматизированной обработке, в том числе профилировании, и является основанием для решений, порождающих правовые последствия для физического лица или схожим образом существенно влияющих на физическое лицо;

(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;

(b) крупномасштабной обработки особых категорий персональных данных, указанных в статье 9(1), или персональных данных, относящихся к судимостям и правонарушениям, приведенных в статье 10; или

(b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or

Связанные статьи

Статья 9 GDPR. Обработка специальных категорий персональных данных

Article 9 GDPR. Processing of special categories of personal data

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

[…]

Статья 10 GDPR. Обработка персональных данных, касающихся судимостей и правонарушений

Article 10 GDPR. Processing of personal data relating to criminal convictions and offences

Обработка персональных данных, касающихся судимостей и правонарушений или относящихся к ним мер по обеспечению безопасности на основании Статьи 6(1), должна осуществляться только под контролем официального органа или, если обработка разрешена правом Союза или государства-члена, которое предусматривает надлежащие гарантии для прав и свобод субъектов данных. Любой исчерпывающий реестр судимостей должен вестись только под контролем официального органа.

Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

Guidelines on Data Protection Officers (‘DPOs’)

2.1.3 «КРУПНЫЙ МАСШТАБ»

2.1.3 ‘LARGE SCALE’

WP29 рекомендует учитывать следующие факторы для определения того, является ли обработка крупномасштабной:

In any event, the WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:

• количество субъектов данных — точное количество либо доля численности населения соответствующего региона

• the number of data subjects concerned — either as a specific number or as a proportion of the relevant population

• объем обрабатываемых данных или их элементов

• the volume of data and/or the range of different data items being processed

• продолжительность или постоянство обработки персональных данных

• the duration, or permanence, of the data processing activity

• географический охват обработки.

• the geographical extent of the processing activity.

Примерами крупномасштабной обработки являются, в частности:

Examples of large-scale processing include:

• регулярная обработка данных пациента больницей

• processing of patient data in the regular course of business by a hospital

• обработка данных о путешествиях физических лиц посредством использования городской системы общественного транспорта (например, при помощи проездных билетов)

• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)

• обработка в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания, осуществляемая для статистических целей процессором, специализирующимся на оказании таких услуг

• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in providing these services

• обработка данных клиентов в рамках обычной деятельности страховой компании или банка

• processing of customer data in the regular course of business by an insurance company or a bank

• обработка данных для целей поведенческой рекламы с помощью поисковой системы

• processing of personal data for behavioural advertising by a search engine

• обработка данных (контент, трафик, местонахождение) поставщиком услуг телефонной связи и Интернет-услуг.

• processing of data (content, traffic, location) by telephone or internet service providers.

Крупномасштабная обработка данных отсутствует, в частности, в следующих случаях:

Examples that do not constitute large-scale processing include:

• обработка персональных данных, осуществляемая индивидуальным врачом

• processing of patient data by an individual physician

• обработка персональных данных, касающихся судимостей и правонарушений, осуществляемая индивидуальным адвокатом.

• processing of personal data relating to criminal convictions and offences by an individual lawyer.

(c) систематического мониторинга общедоступных мест в крупных масштабах.

(c) a systematic monitoring of a publicly accessible area on a large scale.

Руководство и прецедентное право

(EN)

Documents

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

4. Надзорный орган должен установить и обнародовать список видов операций по обработке, для которых требуется оценка воздействия на защиту персональных данных в соответствии с параграфом 1. Надзорный орган должен предоставить данные списки Европейскому совету по защите персональных данных, о котором говорится в статье 68.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68.

Связанные статьи

Статья 68 GDPR. Европейский совет по защите персональных данных

Article 68 GDPR. European Data Protection Board

1. Настоящим учреждается Европейский совет по защите персональных данных в качестве органа Союза и обладает правами юридического лица.

1. The European Data Protection Board (the ‘Board’) is hereby established as a body of the Union and shall have legal personality.

2. Европейский совет по защите персональных данных представляется своим председателем.

2. The Board shall be represented by its Chair.

3. Европейский совет по защите персональных данных состоит из руководителей одного надзорного органа от каждого государства-члена, а также Европейского инспектора по защита персональных данных или из их представителей.

3. The Board shall be composed of the head of one supervisory authority of each Member State and of the European Data Protection Supervisor, or their respective representatives.

4. В случае, когда в государстве-члене более одного надзорного органа, являющихся ответственными за мониторинг применения положений в порядке настоящего Регламента, назначается единый представитель, в соответствии с правом такого государства-члена.

4. Where in a Member State more than one supervisory authority is responsible for monitoring the application of the provisions pursuant to this Regulation, a joint representative shall be appointed in accordance with that Member State’s law.

5. Европейская Комиссия вправе принимать участие в деятельности и заседаниях Европейского совета по защите персональных данных без права голоса. Европейская Комиссия назначает представителя. Председатель Европейского совета по защите персональных данных информирует Европейскую Комиссию о деятельности Европейского совета по защите персональных данных.

5. The Commission shall have the right to participate in the activities and meetings of the Board without voting right. The Commission shall designate a representative. The Chair of the Board shall communicate to the Commission the activities of the Board.

6. В случаях, предусмотренных в Статье 65, Европейский инспектор по защите персональных данных обладает правом голоса только по решениям, которые касаются принципов и норм, применимых к учреждениям, органам, ведомствам и агентствам Союза, которые соответствуют содержанию настоящего Регламента.

6. In the cases referred to in Article 65, the European Data Protection Supervisor shall have voting rights only on decisions which concern principles and rules applicable to the Union institutions, bodies, offices and agencies which correspond in substance to those of this Regulation.

5. Надзорный орган может также установить и обнародовать список видов операций по обработке, для которых оценка воздействия на защиту данных не требуется. Надзорный орган должен предоставить данные списки Европейскому совету по защите персональных данных.

5. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the Board.

6. До утверждения списков, упомянутых в параграфах 4 и 5, компетентный надзорный орган должен применить механизм согласованности, указанный в статье 63, если указанные списки включают деятельность по обработке, связанную с предложением товаров или услуг субъектам данных, или с мониторингом их поведения в нескольких государствах-членах, или могут существенно сказаться на свободном движении персональных данных внутри Союза.

6. Prior to the adoption of the lists referred to in paragraphs 4 and 5, the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union.

Связанные статьи

Статья 63 GDPR. Механизм согласования

Article 63 GDPR. Consistency mechanism

Статья 4 GDPR. Определения

Article 4 GDPR. Definitions

С целью способствования согласованному применению настоящего Регламента в Союзе надзорные органы должны сотрудничать друг с другом и в соответствующих случаях с Комиссией посредством механизма согласования, указанного в настоящем Разделе.

In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.

Руководство по территориальной сфере действия GDPR (статья 3)

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Предложение товаров или услуг независимо от того, требуется ли оплата от субъекта данных субъектам данных в Союзе

Offering of goods or services, irrespective of whether a payment of the data subject is required, to data subjects in the Union

Первым видом деятельности, влекущим применение статьи 3(2), является «предложение товаров или услуг», концепция, которая получила дальнейшее развитие в законодательстве и прецедентном праве ЕС, что следует учитывать при применении критерия таргетинга. Предложение услуг также включает предложение услуг информационного общества, определенное в пункте (b) статьи 1(1) Директивы (ЕС) 2015/1535 [23] как «любая услуга информационного общества, то есть — любая услуга, обычно предоставляемая за вознаграждение, на расстоянии с помощью электронных средств и по индивидуальному запросу получателя услуг».

The first activity triggering the application of Article 3(2) is the “offering of goods or services”, a concept which has been further addressed by EU law and case law, which should be taken into account when applying the targeting criterion. The offering of services also includes the offering of information society services, defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 [23] as “any Information Society service, that is to say, any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services”.

_{[23] Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества.}

_{[23] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services.}

Другой ключевой элемент, который необходимо оценить при определении того, может ли критерий таргетинга по статье 3(2)(а) быть удовлетворен, заключается в том, направлено ли предложение товаров или услуг на какое-либо лицо в Союзе, или, другими словами, является ли поведение со стороны контролера, который определяет цели и средства обработки, демонстрирующим намерение предложить товары или услуги субъекту данных, расположенному в Союзе. Пункт 23 декларативной части GDPR действительно разъясняет, что «для того, чтобы определить, предлагает ли такой контролер или процессор товары или услуги субъектам данных, которые находятся в Союзе, должно быть установлено, является ли очевидным то, что контролер или процессор предусматривают предложение услуги субъектам данных в одном или нескольких государствах-членах Союза».

Another key element to be assessed in determining whether the Article 3(2)(a) targeting criterion can be met is whether the offer of goods or services is directed at a person in the Union, or in other words, whether the conduct on the part of the controller, which determines the means and purposes of processing, demonstrates its intention to offer goods or a services to a data subject located in the Union. Recital 23 of the GDPR indeed clarifies that “in order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union.”

7. Оценка должна включать в себя, по меньшей мере:

7. The assessment shall contain at least:

(a) системное описание планируемых операций по обработке, а также целей обработки, в том числе, в соответствующих случаях – легитимного интереса, преследуемого контролёром;

(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;

Руководство и прецедентное право

(EN)

Case law

CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).

(b) оценку необходимости и пропорциональности операций по обработке в отношении целей;

(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

(c) оценку рисков для прав и свобод субъектов данных, о которых идет речь в параграфе 1; и

(c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and

(d) меры, запланированные для устранения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных и для подтверждения соблюдения данного Регламента с учетом прав и легитимный интересов субъектов данных и других заинтересованных лиц.

(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

8. Соблюдение соответствующими контролёрами и процессорами кодексов поведения, указанных в Статье 40, следует учитывать при оценке воздействия операций по обработке данных, проводимых этими контролёрами или процессорами, в частности для целей оценки воздействия на защиту персональных данных.

8. Compliance with approved codes of conduct referred to in Article 40 by the relevant controllers or processors shall be taken into due account in assessing the impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment.

Связанные статьи

Статья 40 GDPR. Кодексы поведения

Article 40 GDPR. Codes of conduct

9. В соответствующих случаях контролёр должен узнавать мнения субъектов данных или их представителей по поводу запланированной обработки, без ущерба для защиты коммерческих или общественных интересов или безопасности операций по обработке.

9. Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of processing operations.

ISO 27701

Приводим соответствующий параграф к статье 35(9) GDPR:

5.2.2 Понимание потребностей и ожиданий заинтересованных сторон

Организация должна включать в свои заинтересованные стороны те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, субъектов ПИИ.

…

Войти
для доступа к полному тексту

10. Если правовое основание для обработки согласно пунктам (c) или (e) Статьи 6(1) вытекает из законодательства Союза или государства-члена, под действие которого подпадает контролёр, и данное законодательство регулирует определенную операцию по обработке или набор таких операций, и оценка воздействия на защиту данных уже была проведена как часть общей оценки воздействия в контексте утверждения этого правового основания, параграфы 1 — 7 не применяются кроме случаев, когда государства-члены считают необходимым проводить указанную оценку до осуществления деятельности по обработке.

10. Where processing pursuant to point (c) or (e) of Article 6(1) has a legal basis in Union law or in the law of the Member State to which the controller is subject, that law regulates the specific processing operation or set of operations in question, and a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis, paragraphs 1 to 7 shall not apply unless Member States deem it to be necessary to carry out such an assessment prior to processing activities.

Связанные статьи

Статья 6 GDPR. Законность обработки

Article 6 GDPR. Lawfulness of processing

1. Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:

1. Processing shall be lawful only if and to the extent that at least one of the following applies:

[…]

(c) обработка необходима для выполнения правового обязательства, возложенного на контролёра;

(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

[…]

(e) обработка необходима для выполнения задачи в публичном интересе или в рамках осуществления государственной власти, доверенной контролёру;

(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

11. В случае необходимости, и как минимум, когда изменяется риск, сопряженный с операциями по обработке, контролёр должен осуществить пересмотр, чтобы определить, выполняется ли обработка в соответствии с оценкой воздействия на защиту персональных данных.

11. Where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

ISO 27701

Приводим соответствующий параграф к статье 35 GDPR:

7.2.5 Оценка воздействия на конфиденциальность

Средство управления

Организация должна проанализировать необходимость проведения оценки воздействия на приватность и в случае надобности провести данную оценку, каждый раз, когда планируется новая обработка ПИИ или изменения в существующей процедуре обработки ПИИ.

Руководство по внедрению

Обработка ПИИ создает риски для субъектов ПИИ.

…

Войти
для доступа к полному тексту

Преамбулы

(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(84) В целях улучшения соблюдения настоящего Регламента в случаях, когда операции по обработки с большой вероятностью могут представлять высокие риски правам и свободам физических лиц, контролёр должен нести ответственность за проведение оценки воздействия на защиту персональных данных для того, чтобы оценить, в частности, источник, характер, специфику и серьезность этого риска. Результаты оценки должны быть приняты во внимание при определении соответствующих мер, которые необходимо принять, чтобы подтвердить, что обработка персональных данных осуществляется в соответствии с настоящим Регламентом. Если оценка воздействия на защиту персональных данных указывает на то, что операции по обработке приводят к высокому риску, который контролёр не может уменьшить соответствующими мерами с точки зрения имеющихся технологий и стоимости реализации, консультация надзорного органа должна быть проведена до начала обработки.

(84) In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing.

(89) Директива 95/46/ЕС предусматривала общее обязательство по уведомлению надзорных органов об обработке персональных данных. Поскольку указанная обязанность связана с административной и финансовой нагрузкой, она не всегда содействовала улучшению защиты персональных данных. Поэтому такие неизбирательные общие обязательства по уведомлению должны быть отменены и заменены эффективными процедурами и механизмами, в которых основное внимание уделяется тем видам операций по переработке, которые с большой вероятностью могут привести к высокому риску для прав и свобод физических лиц в силу их характера, сферы охвата, контекстом и целями. Такими видами операций обработки могут быть те, которые, в частности, связаны с использованием новых технологий или которые сами по себе являются новыми, и когда контролёром раньше не проводилась оценка воздействия защиты данных или если они необходимы с учетом времени, которое прошло с момента первоначальной обработки.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) В таких случаях оценка воздействия на защиту персональных данных должна быть проведена контролёром до начала обработки для того, чтобы оценить вероятность и серьезность высоты риска, принимая во внимание характер, сферу охвата, контекст и цели обработки, а также источники риска. Такая оценка воздействия должна включать в себя, в частности, меры, гарантии и механизмы, предусмотренные для минимизации этого риска, обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(91) Это должно применяться, в частности, для масштабных операций по обработке, которые направлены на обработку большого количества персональных данных на региональном, национальном и наднациональном уровнях, и которая может повлиять на большое число субъектов данных, а также привести к высокой степени риска, например, вследствие их чувствительности, когда в соответствии с достигнутым уровнем технологических знаний используется новая технология в широких масштабах, также как к другим операциям по обработке, которые сопряжены с высоким риском для прав и свобод субъектов данных, в частности когда такие операции затрудняют для субъектов данных осуществление их прав. Оценка воздействия на защиту персональных данных должна проводиться также тогда, когда персональные данные обрабатываются для принятия решений в отношении конкретных физических лиц после любой систематической и обширной оценки личностных характеристик, относящихся к физическому лицу, на основе профилирования таких данных или после обработки специальных категорий персональных данных (чувствительных персональных данных), биометрических данных, либо данные о судимостях и правонарушениях, связанных с ними мерах безопасности. Оценка воздействия на защиту персональных данных в равной степени требуется для мониторинга общедоступных широкомасштабных сфер, особенно при использовании оптоэлектронных устройств, а также для любой другой деятельности, когда компетентный надзорный орган полагает, что обработка с большой вероятностью приведет к высоким рискам для прав и свобод субъектов данных, в частности потому, что они препятствуют субъектам данных в осуществлении их прав, использовании услуги или договора, либо потому, что обработка осуществляется систематически в широком масштабе. Обработка персональных данных не должна рассматриваться как осуществляемая систематически в большом масштабе, если она относится к персональным данным пациентов или клиентов индивидуального лечащего врача, иного медицинского работника или юриста. В этих случаях оценка воздействия на защиту персональных данных не должна быть обязательной.

(91) This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory.

(92) Существуют обстоятельства, при которых может быть приемлемо и экономически целесообразно проводить оценку воздействия на защиту персональных данных больше чем на один проект, например, когда орган публичной власти или учреждение намерены установить общее приложение или платформу обработки, либо если несколько контролёров планируют ввести общее приложение или условия обработки для промышленного сектора или сегмента, либо для широко используемой равноправной деятельности.

(92) There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity.

(93) В контексте применения права государства-члена, на основе которого орган публичной власти или государственная организация осуществляют свои задачи и которое регулирует конкретный вид обработки или ряд соответствующих обработок, государства-члены могут счесть необходимым провести указанную оценку до осуществления обработки.

(93) In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities.

Руководство и прецедентное право

(EN)