GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
IV LUKU
Rekisterinpitäjä ja henkilötietojen käsittelijä
3 Jakso
Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen
35 artikla Tietosuojaa koskeva vaikutustenarviointi
1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin. 2. Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty. 3. Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa:
4. Valvontaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi. Valvontaviranomaisen on toimitettava tällaiset luettelot 68 artiklassa tarkoitetulle neuvostolle. 5. Valvontaviranomainen voi myös laatia ja julkaista luettelon käsittelytoimien tyypeistä, joiden osalta ei vaadita tietosuojaa koskevaa vaikutustenarviointia. Valvontaviranomaisen on toimitettava tällaiset luettelot tietosuojaneuvostolle. 6. Jos 4 ja 5 kohdassa tarkoitettu luettelo sisältää käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen rekisteröidyille tai näiden käyttäytymisen seurantaan useissa jäsenvaltioissa tai jos toimet voivat merkittävästi vaikuttaa henkilötietojen vapaaseen liikkuvuuteen unionissa, toimivaltaisen valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia ennen kuin se vahvistaa kyseisen luettelon. 7. Arvioinnin on sisällettävä vähintään:
8. Se, että asianomaiset rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, otetaan asianmukaisesti huomioon arvioitaessa kyseisten rekisterinpitäjien ja henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta erityisesti tietosuojaa koskevassa vaikutustenarvioinnissa. 9. Rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen. 10. Jos 6 artiklan 1 kohdan c tai e alakohdan mukaisen käsittelyn oikeusperusteena on rekisterinpitäjään sovellettava unionin oikeus tai jäsenvaltion lainsäädäntö, joka säätelee siihen liittyvää käsittelytointa tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana kyseisen käsittelyn oikeusperusteen hyväksymisen yhteydessä, 1–7 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista. 11. Rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
CAPÍTULO IV
Responsable del tratamiento y encargado del tratamiento
Sección 3
Evaluación de impacto relativa a la protección de datos y consulta previa
Artículo 35 Evaluación de impacto relativa a la protección de datos
1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. 2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos. 3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68. 5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité. 6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión. 7. La evaluación deberá incluir como mínimo:
8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos. 9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento. 10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento. 11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.
|
dal 2004 diritto e informatica