Преамбула 91
Recital 91
(91) Це, зокрема, необхідно застосовувати до широкомасштабних операцій опрацювання, спрямованих на опрацювання значних обсягів персональних даних на регіональному, національному чи наднаціональному рівні, які можуть вплинути на велику кількість суб’єктів даних і ймовірно створити високий ризик, наприклад враховуючи їхню чутливість, у ході якого широкомасштабно використовують нову технологію відповідно до досягнутого стану технологічних знань, а також до інших операцій опрацювання, що створюють високий ризик для прав і свобод суб’єктів даних, зокрема, якщо такі операції ускладнюють реалізацію суб’єктами даних їхніх прав.
Оцінювання впливу на захист даних також необхідно проводити, якщо персональні дані опрацьовують з метою ухвалення рішень щодо певних фізичних осіб після будь-якого систематичного та всебічного оцінювання персональних аспектів, що стосуються фізичних осіб, на підставі профайлінгу таких даних чи після опрацювання спеціальних категорій персональних даних, біометричних даних або даних про судимості і кримінальні злочини або пов’язані заходи безпеки.
Оцінювання впливу на захист даних є однаково необхідним для всебічного моніторингу загальнодоступних територій, особливо під час застосування оптико-електронних приладів або для будь-яких інших операцій, у ході виконання яких компетентний наглядовий орган вважає, що опрацювання ймовірно створить високий ризик для прав і свобод суб’єктів даних, зокрема, тому, що вони заважають суб’єктам даних реалізовувати право або користуватися послугою чи договором, або тому, що їх здійснюють систематично та широкомасштабно.
Опрацювання персональних даних не можна вважати широкомасштабним, якщо опрацювання стосується персональних даних пацієнтів або клієнтів, які надає персональний лікар, інший медичний працівник або юрист.
У таких випадках проведення оцінювання впливу на захист даних є необов’язковим.
(91) This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights.
A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures.
A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale.
The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer.
In such cases, a data protection impact assessment should not be mandatory.
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.