(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.
(84) В целях улучшения соблюдения настоящего Регламента в случаях, когда операции по обработки с большой вероятностью могут представлять высокие риски правам и свободам физических лиц, контролёр должен нести ответственность за проведение оценки воздействия на защиту персональных данных для того, чтобы оценить, в частности, источник, характер, специфику и серьезность этого риска. Результаты оценки должны быть приняты во внимание при определении соответствующих мер, которые необходимо принять, чтобы подтвердить, что обработка персональных данных осуществляется в соответствии с настоящим Регламентом. Если оценка воздействия на защиту персональных данных указывает на то, что операции по обработке приводят к высокому риску, который контролёр не может уменьшить соответствующими мерами с точки зрения имеющихся технологий и стоимости реализации, консультация надзорного органа должна быть проведена до начала обработки.
(89) Директива 95/46/ЕС предусматривала общее обязательство по уведомлению надзорных органов об обработке персональных данных. Поскольку указанная обязанность связана с административной и финансовой нагрузкой, она не всегда содействовала улучшению защиты персональных данных. Поэтому такие неизбирательные общие обязательства по уведомлению должны быть отменены и заменены эффективными процедурами и механизмами, в которых основное внимание уделяется тем видам операций по переработке, которые с большой вероятностью могут привести к высокому риску для прав и свобод физических лиц в силу их характера, сферы охвата, контекстом и целями. Такими видами операций обработки могут быть те, которые, в частности, связаны с использованием новых технологий или которые сами по себе являются новыми, и когда контролёром раньше не проводилась оценка воздействия защиты данных или если они необходимы с учетом времени, которое прошло с момента первоначальной обработки.
(90) В таких случаях оценка воздействия на защиту персональных данных должна быть проведена контролёром до начала обработки для того, чтобы оценить вероятность и серьезность высоты риска, принимая во внимание характер, сферу охвата, контекст и цели обработки, а также источники риска. Такая оценка воздействия должна включать в себя, в частности, меры, гарантии и механизмы, предусмотренные для минимизации этого риска, обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента.
(91) Это должно применяться, в частности, для масштабных операций по обработке, которые направлены на обработку большого количества персональных данных на региональном, национальном и наднациональном уровнях, и которая может повлиять на большое число субъектов данных, а также привести к высокой степени риска, например, вследствие их чувствительности, когда в соответствии с достигнутым уровнем технологических знаний используется новая технология в широких масштабах, также как к другим операциям по обработке, которые сопряжены с высоким риском для прав и свобод субъектов данных, в частности когда такие операции затрудняют для субъектов данных осуществление их прав. Оценка воздействия на защиту персональных данных должна проводиться также тогда, когда персональные данные обрабатываются для принятия решений в отношении конкретных физических лиц после любой систематической и обширной оценки личностных характеристик, относящихся к физическому лицу, на основе профилирования таких данных или после обработки специальных категорий персональных данных (чувствительных персональных данных), биометрических данных, либо данные о судимостях и правонарушениях, связанных с ними мерах безопасности. Оценка воздействия на защиту персональных данных в равной степени требуется для мониторинга общедоступных широкомасштабных сфер, особенно при использовании оптоэлектронных устройств, а также для любой другой деятельности, когда компетентный надзорный орган полагает, что обработка с большой вероятностью приведет к высоким рискам для прав и свобод субъектов данных, в частности потому, что они препятствуют субъектам данных в осуществлении их прав, использовании услуги или договора, либо потому, что обработка осуществляется систематически в широком масштабе. Обработка персональных данных не должна рассматриваться как осуществляемая систематически в большом масштабе, если она относится к персональным данным пациентов или клиентов индивидуального лечащего врача, иного медицинского работника или юриста. В этих случаях оценка воздействия на защиту персональных данных не должна быть обязательной.
(92) Существуют обстоятельства, при которых может быть приемлемо и экономически целесообразно проводить оценку воздействия на защиту персональных данных больше чем на один проект, например, когда орган публичной власти или учреждение намерены установить общее приложение или платформу обработки, либо если несколько контролёров планируют ввести общее приложение или условия обработки для промышленного сектора или сегмента, либо для широко используемой равноправной деятельности.
(93) В контексте применения права государства-члена, на основе которого орган публичной власти или государственная организация осуществляют свои задачи и которое регулирует конкретный вид обработки или ряд соответствующих обработок, государства-члены могут счесть необходимым провести указанную оценку до осуществления обработки.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 35 GDPR:
8.2.1 Клиентское соглашение
Средство управления
Организация должна обеспечить, при необходимости, чтобы в договоре на обработку ПИИ учитывалась роль организации в предоставлении помощи по обязательствам клиента (принимая во внимание характер обработки и информацию, доступную для организации).
Руководство по внедрению
Контракт между организацией и клиентом должен включать, где это уместно, следующее и в зависимости от роли клиента (контроллер ПИИ или обработчик ПИИ) (этот список не является ни окончательным, ни исчерпывающим):
…
Войти
для доступа к полному тексту