Sekcja 4 - ocena skutków dla ochrony danych i uprzednie konsultacje - Rozporządzenie 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE
Dzienniki UE
Dz.U.UE.L.2018.295.39
Akt obowiązujący Wersja od: 21 listopada 2018 r.
SEKCJA 4
ocena skutków dla ochrony danych i uprzednie konsultacje
ocena skutków dla ochrony danych i uprzednie konsultacje
Ocena skutków dla ochrony danych
1.
Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.2.
Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych.3.
Ocena skutków dla ochrony danych, o której mowa w ust. 1, jest wymagana w szczególności w przypadku:a)
systematycznej i kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na przetwarzaniu zautomatyzowanym, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;b)
przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 10, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 11; lubc)
systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.4.
Europejski Inspektor Ochrony Danych ustanawia i podaje do wiadomości publicznej wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na podstawie ust. 1.5.
Europejski Inspektor Ochrony Danych może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych.6.
Przed przyjęciem wykazów, o których mowa w ust. 4 i 5 niniejszego artykułu, Europejski Inspektor Ochrony Danych zwraca się do Europejskiej Rady Ochrony Danych utworzonej na mocy art. 68 rozporządzenia (UE) 2016/679 o zbadanie takich wykazów zgodnie z art. 70 ust. 1 lit. e) tego rozporządzenia, jeżeli takie wykazy odnoszą się do operacji przetwarzania danych przez administratora działającego wspólnie z co najmniej jednym administratorem innym, niż instytucje i organy Unii.7.
Ocena zawiera co najmniej:a)
systematyczny opis planowanych operacji przetwarzania i celów przetwarzania;b)
ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;c)
ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1, orazd)
przewidziane środki służące zaradzeniu zagrożeniom, w tym zabezpieczenia oraz środki bezpieczeństwa i mechanizmy zapewniające ochronę danych osobowych i potwierdzające zgodność z przepisami niniejszego rozporządzenia, z uwzględnieniem praw i uzasadnionych interesów osób, których dane dotyczą, i innych odnośnych osób.8.
Oceniając - w szczególności do celów oceny skutków dla ochrony danych - skutki operacji przetwarzania wykonywanych przez właściwe podmioty przetwarzające inne niż instytucje i organy Unii, uwzględnia się przestrzeganie przez takie podmioty przetwarzające zatwierdzonych kodeksów postępowania, o których mowa w art. 40 rozporządzenia (UE) 2016/679.9.
W stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, z zastrzeżeniem ochrony interesów publicznych lub bezpieczeństwa operacji przetwarzania.10.
Jeżeli przetwarzanie na podstawie art. 5 ust. 1 lit. a) lub b) ma podstawę prawną w akcie prawnym przyjętym na podstawie Traktatów, który reguluje daną operację przetwarzania lub zestaw operacji, a ocenę skutków dla ochrony danych sporządzono już w ramach ogólnej oceny skutków regulacji, którą przeprowadzono przed przyjęciem tego aktu prawnego, ust. 1-6 niniejszego artykułu nie mają zastosowania, chyba że ten akt prawny stanowi inaczej.11.
W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.Uprzednie konsultacje
1.
Administrator konsultuje się z Europejskim Inspektorem Ochrony Danych przed rozpoczęciem czynności przetwarzania, jeżeli ocena skutków dla ochrony danych przewidziana w art. 39 wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie wiązałoby się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia. Administrator zasięga porady inspektora ochrony danych w sprawie konieczności przeprowadzenia uprzednich konsultacji.2.
Jeżeli Europejski Inspektor Ochrony Danych jest zdania, że zamierzone przetwarzanie, o którym mowa w ust. 1, stanowiłoby naruszenie niniejszego rozporządzenia - w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko - Europejski Inspektor Ochrony Danych w terminie do ośmiu tygodni od wpłynięcia wniosku o konsultacje udziela administratorowi, a w stosownych przypadkach także podmiotowi przetwarzającemu, pisemnej porady i może skorzystać z dowolnego ze swoich uprawnień, o których mowa w art. 58. Okres ten można przedłużyć o sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania. Europejski Inspektor Ochrony Danych informuje administratora, a w stosownych przypadkach także podmiot przetwarzający, o takim przedłużeniu w terminie miesiąca od wpłynięcia wniosku o konsultacje, z podaniem przyczyn tego opóźnienia. Bieg tych terminów można zawiesić, do czasu aż Europejski Inspektor Ochrony Danych uzyska wszelkie informacje, których zażądał do celów konsultacji.3.
Konsultując się z Europejskim Inspektorem Ochrony Danych zgodnie z ust. 1, administrator przedstawia mu:a)
w stosownych przypadkach - odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu;b)
cele i sposoby zamierzonego przetwarzania;c)
środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z niniejszym rozporządzeniem;d)
dane kontaktowe inspektora ochrony danych;e)
ocenę skutków dla ochrony danych, o której mowa w art. 39; orazf)
wszelkie inne informacje, których żąda Europejski Inspektor Ochrony Danych.4.
Komisja może, w drodze aktu wykonawczego, ustanowić wykaz przypadków, w których administratorzy muszą konsultować się z Europejskim Inspektorem Ochrony Danych i uzyskać jego uprzednią zgodę na przetwarzanie danych osobowych do celów wykonania zadania realizowanego przez administratora w interesie publicznym, w tym przetwarzania w związku z ochroną socjalną i zdrowiem publicznym.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.