1. В случае, если способ обработки данных, особенно при использовании новых технологий и с учётом характера, объёма, контекста и целей обработки, может привести к высокой степени риска для прав и свобод физических лиц, то контроллер перед обработкой проводит оценку воздействия запланированной обработки на защиту персональных данных. В одной оценке можно обратить внимание на совокупность таких же схожих процессов обработки данных, которым присуща аналогичная высокая степень риска.
2. При проведении оценки воздействия на защиту данных контроллер обращается за советом к специалисту по защите персональных данных, если такой назначен.
3. Оценка воздействия на защиту данных, указанная в пункте 1, требуется, в частности, в следующих случаях:
- систематической и масштабной оценки личностных аспектов физических лиц, которая основывается на автоматизированной обработке, включая профилирование, и которая является основой для решений, порождающих юридические последствия в отношении физического лица или аналогичным образом существенно влияющих на физическое лицо;
- масштабной обработки особых категорий данных, указанных в пункте 1 статьи 9 или персональных данных о наказуемости и нарушениях, указанных в статье 10;
- систематического крупномасштабного мониторинга публично доступной области.
4. Надзорное учреждение разрабатывает и публикует перечень с теми видами действий по обработке, в отношении которых должна осуществляться оценка воздействия на защиту данных, согласно пункту 1. Надзорное учреждение предоставляет упомянутые перечни коллегии, указанной в статье 68.
5. Надзорное учреждение может разработать и опубликовать также перечень с теми видами действий по обработке, для которых не требуется оценка воздействия на защиту данных. Надзорное учреждение предоставляет упомянутые перечни коллегии.
6. До принятия перечней, указанных в параграфах 4 и 5, компетентное надзорное учреждение применяет предусмотренный механизм согласованности, указанный в статье 63, если упомянутые в пункте 4 и 5 перечни включают действия по обработке, связанные с предоставлением товаров и услуг субъектам данных или с мониторингом их поведения в нескольких государствах-членах ЕС, или которые могут существенно повлиять на свободное обращение персональных данных в Союзе.
7. Оценка, как минимум, содержит:
- систематическое описание запланированного действия и цель обработки, в том числе, в соответствующем случае, законный интерес контроллера;
- оценку необходимости и соразмерность действий по обработке относительно целей;
- оценку рисков для прав и свобод субъектов данных, указанных в пункте 1; и
- меры, предусмотренные для предотвращения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных, и которые наглядно демонстрируют соблюдение настоящего регламента, с учётом прав и законных интересов субъектов данных и других соответствующих лиц.
8. Соответствие связанного контроллера или процессора кодексу действий, упомянутому в статье 40, должным образом учитывается при оценке воздействия таких действий по обработке, совершаемых такими контроллерами или процессорами, в особенности по оценке воздействия на защиту данных.
9. В соответствующем случае контроллер запрашивает мнение субъектов данных или их представителей о запланированной обработке, не затрагивая коммерческие или общественные интересы или безопасность действий по обработке.
10. Если юридическое основание совершённой согласно подпункту c) или e) пункта 1 статьи 6 обработки определено правовыми актами Союза или государства-члена ЕС, применимыми к контроллеру, и указанные правовые акты регулируют конкретные действия по обработке или совокупность упомянутых действии, и оценка воздействия на защиту данных уже проводилась в качестве части общей оценки воздействия в отношении принятия указанного юридического основания, то пункты 1–7 не применяются, кроме случаев, когда государства-члены ЕС считают, что перед обработкой данных необходимо провести указанную оценку.
11. При необходимости, контроллер проводит проверку для того, чтобы оценить, выполняется ли обработка в соответствии с оценкой воздействия на защиту данных, как минимум, когда имеется изменение относительно риска, вызванного обработкой данных.