GDPR
>
Статья 35. Оценка воздействия на защиту персональных данных
Статья 35 GDPR. Оценка воздействия на защиту персональных данных
1. Если какой-либо вид обработки, в особенности с использованием новых технологий, с точки зрения своей природы, масштаба, контекста и цели, ожидаемо приведет к высокому риску для прав и свобод физических лиц, контролёр перед обработкой должен провести оценку воздействия планируемых операций обработки на защиту персональных данных. Применительно к набору схожих операций обработки данных, которые представляют схожий высокий риск, может быть проведена единая оценка.
2. При проведении оценки воздействия на защиту персональных данных, контролёр должен проконсультироваться с инспектором по защите персональных данных, если тот был назначен.
3. Оценка воздействия на защиту персональных данных, указанная в параграфе 1, требуется, в частности, в случае:
(a) систематической и комплексной оценки определенных личных аспектов физических лиц, которая основана на автоматизированной обработке, в том числе профилировании, и является основанием для решений, порождающих правовые последствия для физического лица или схожим образом существенно влияющих на физическое лицо;
4. Надзорный орган должен установить и обнародовать список видов операций по обработке, для которых требуется оценка воздействия на защиту персональных данных в соответствии с параграфом 1. Надзорный орган должен предоставить данные списки Европейскому совету по защите персональных данных, о котором говорится в статье 68.
5. Надзорный орган может также установить и обнародовать список видов операций по обработке, для которых оценка воздействия на защиту данных не требуется. Надзорный орган должен предоставить данные списки Европейскому совету по защите персональных данных.
6. До утверждения списков, упомянутых в параграфах 4 и 5, компетентный надзорный орган должен применить механизм согласованности, указанный в статье 63, если указанные списки включают деятельность по обработке, связанную с предложением товаров или услуг субъектам данных, или с мониторингом их поведения в нескольких государствах-членах, или могут существенно сказаться на свободном движении персональных данных внутри Союза.
(a) системное описание планируемых операций по обработке, а также целей обработки, в том числе, в соответствующих случаях – легитимного интереса, преследуемого контролёром;
Руководство и прецедентное право
(EN)
Case law
CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).(d) меры, запланированные для устранения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных и для подтверждения соблюдения данного Регламента с учетом прав и легитимный интересов субъектов данных и других заинтересованных лиц.
9. В соответствующих случаях контролёр должен узнавать мнения субъектов данных или их представителей по поводу запланированной обработки, без ущерба для защиты коммерческих или общественных интересов или безопасности операций по обработке.
ISO 27701
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 35(9) GDPR:
5.2.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна включать в свои заинтересованные стороны те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, субъектов ПИИ.
…
Войти
для доступа к полному тексту
10. Если правовое основание для обработки согласно пунктам (c) или (e) Статьи 6(1) вытекает из законодательства Союза или государства-члена, под действие которого подпадает контролёр, и данное законодательство регулирует определенную операцию по обработке или набор таких операций, и оценка воздействия на защиту данных уже была проведена как часть общей оценки воздействия в контексте утверждения этого правового основания, параграфы 1 — 7 не применяются кроме случаев, когда государства-члены считают необходимым проводить указанную оценку до осуществления деятельности по обработке.
Общий регламент защиты персональных данных (GDPR) Европейского союза
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
ISO 27701
Преамбулы
Руководство и прецедентное право
Оставить комментарий
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 35 GDPR:
7.2.5 Оценка воздействия на конфиденциальность
Средство управления
Организация должна проанализировать необходимость проведения оценки воздействия на приватность и в случае надобности провести данную оценку, каждый раз, когда планируется новая обработка ПИИ или изменения в существующей процедуре обработки ПИИ.
Руководство по внедрению
Обработка ПИИ создает риски для субъектов ПИИ.
…
Войти
для доступа к полному тексту
(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.
(84) В целях улучшения соблюдения настоящего Регламента в случаях, когда операции по обработки с большой вероятностью могут представлять высокие риски правам и свободам физических лиц, контролёр должен нести ответственность за проведение оценки воздействия на защиту персональных данных для того, чтобы оценить, в частности, источник, характер, специфику и серьезность этого риска. Результаты оценки должны быть приняты во внимание при определении соответствующих мер, которые необходимо принять, чтобы подтвердить, что обработка персональных данных осуществляется в соответствии с настоящим Регламентом. Если оценка воздействия на защиту персональных данных указывает на то, что операции по обработке приводят к высокому риску, который контролёр не может уменьшить соответствующими мерами с точки зрения имеющихся технологий и стоимости реализации, консультация надзорного органа должна быть проведена до начала обработки.
(89) Директива 95/46/ЕС предусматривала общее обязательство по уведомлению надзорных органов об обработке персональных данных. Поскольку указанная обязанность связана с административной и финансовой нагрузкой, она не всегда содействовала улучшению защиты персональных данных. Поэтому такие неизбирательные общие обязательства по уведомлению должны быть отменены и заменены эффективными процедурами и механизмами, в которых основное внимание уделяется тем видам операций по переработке, которые с большой вероятностью могут привести к высокому риску для прав и свобод физических лиц в силу их характера, сферы охвата, контекстом и целями. Такими видами операций обработки могут быть те, которые, в частности, связаны с использованием новых технологий или которые сами по себе являются новыми, и когда контролёром раньше не проводилась оценка воздействия защиты данных или если они необходимы с учетом времени, которое прошло с момента первоначальной обработки.
(90) В таких случаях оценка воздействия на защиту персональных данных должна быть проведена контролёром до начала обработки для того, чтобы оценить вероятность и серьезность высоты риска, принимая во внимание характер, сферу охвата, контекст и цели обработки, а также источники риска. Такая оценка воздействия должна включать в себя, в частности, меры, гарантии и механизмы, предусмотренные для минимизации этого риска, обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента.
(91) Это должно применяться, в частности, для масштабных операций по обработке, которые направлены на обработку большого количества персональных данных на региональном, национальном и наднациональном уровнях, и которая может повлиять на большое число субъектов данных, а также привести к высокой степени риска, например, вследствие их чувствительности, когда в соответствии с достигнутым уровнем технологических знаний используется новая технология в широких масштабах, также как к другим операциям по обработке, которые сопряжены с высоким риском для прав и свобод субъектов данных, в частности когда такие операции затрудняют для субъектов данных осуществление их прав. Оценка воздействия на защиту персональных данных должна проводиться также тогда, когда персональные данные обрабатываются для принятия решений в отношении конкретных физических лиц после любой систематической и обширной оценки личностных характеристик, относящихся к физическому лицу, на основе профилирования таких данных или после обработки специальных категорий персональных данных (чувствительных персональных данных), биометрических данных, либо данные о судимостях и правонарушениях, связанных с ними мерах безопасности. Оценка воздействия на защиту персональных данных в равной степени требуется для мониторинга общедоступных широкомасштабных сфер, особенно при использовании оптоэлектронных устройств, а также для любой другой деятельности, когда компетентный надзорный орган полагает, что обработка с большой вероятностью приведет к высоким рискам для прав и свобод субъектов данных, в частности потому, что они препятствуют субъектам данных в осуществлении их прав, использовании услуги или договора, либо потому, что обработка осуществляется систематически в широком масштабе. Обработка персональных данных не должна рассматриваться как осуществляемая систематически в большом масштабе, если она относится к персональным данным пациентов или клиентов индивидуального лечащего врача, иного медицинского работника или юриста. В этих случаях оценка воздействия на защиту персональных данных не должна быть обязательной.
(92) Существуют обстоятельства, при которых может быть приемлемо и экономически целесообразно проводить оценку воздействия на защиту персональных данных больше чем на один проект, например, когда орган публичной власти или учреждение намерены установить общее приложение или платформу обработки, либо если несколько контролёров планируют ввести общее приложение или условия обработки для промышленного сектора или сегмента, либо для широко используемой равноправной деятельности.
(93) В контексте применения права государства-члена, на основе которого орган публичной власти или государственная организация осуществляют свои задачи и которое регулирует конкретный вид обработки или ряд соответствующих обработок, государства-члены могут счесть необходимым провести указанную оценку до осуществления обработки.
(EN)
Document
Article 29 Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing Is «likely to Result in a High Risk» for the Purposes of Regulation 2016/679 (2017).
CNIL, PIA Tool (2017-2020).
EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
WP29, Opinion on data processing at work (2017).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).
[js-disqus]
Url выделенного абзаца скопирован в буфер обмена
Подготовка PDF
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 35 GDPR:
8.2.1 Клиентское соглашение
Средство управления
Организация должна обеспечить, при необходимости, чтобы в договоре на обработку ПИИ учитывалась роль организации в предоставлении помощи по обязательствам клиента (принимая во внимание характер обработки и информацию, доступную для организации).
Руководство по внедрению
Контракт между организацией и клиентом должен включать, где это уместно, следующее и в зависимости от роли клиента (контроллер ПИИ или обработчик ПИИ) (этот список не является ни окончательным, ни исчерпывающим):
…
Войти
для доступа к полному тексту