1. Ak typ spracúvania, najmä s využitím nových
technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania
pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických
osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu
plánovaných spracovateľských operácií na ochranu osobných údajov. Pre
súbor podobných spracovateľských operácií, ktoré predstavujú podobné
vysoké riziká, môže byť dostatočné jedno posúdenie.
2. Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, pokiaľ bola určená.
3. Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:
a) systematického a rozsiahleho hodnotenia
osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na
automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú
rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s
podobne závažným vplyvom na ňu;
b) spracúvania vo veľkom rozsahu
osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov
týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10,
alebo
c) systematického monitorovania verejne prístupných miest vo veľkom rozsahu.
4. Dozorný orgán vypracuje a zverejní zoznam tých
spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie
vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto
zoznamy výboru uvedenému v článku 68.
5. Dozorný orgán môže stanoviť a zverejniť aj
zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje
posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy
výboru.
6. Príslušný dozorný orgán pred prijatím zoznamov
uvedených v odsekoch 4 a 5 uplatní mechanizmus konzistentnosti uvedený v
článku 63, ak takéto zoznamy zahŕňajú spracovateľské činnosti, ktoré
súvisia s ponukou tovaru alebo služieb dotknutým osobám alebo sledovaním
ich správania vo viacerých členských štátoch, alebo ak môžu podstatne
ovplyvniť voľný pohyb osobných údajov v rámci Únie.
7. Posúdenie obsahuje aspoň:
a) systematický opis plánovaných
spracovateľských operácií a účely spracúvania, vrátane prípadného
oprávneného záujmu, ktorý sleduje prevádzkovateľ;
b) posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;
c) posúdenie rizika pre práva a slobody dotknutých osôb uvedeného v odseku 1 a
d) opatrenia na riešenie rizík vrátane
záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany
osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa
zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb,
ktorých sa to týka.
8. Pri posudzovaní dosahu spracovateľských
operácií vykonávaných relevantnými prevádzkovateľmi alebo
sprostredkovateľmi sa náležite sleduje, či títo prevádzkovatelia alebo
sprostredkovatelia dodržiavajú schválené kódexy správania uvedené v
článku 40, a to najmä na účely posúdenia vplyvu na ochranu údajov.
9. Prevádzkovateľ sa podľa potreby usiluje získať
názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez
toho, aby bola dotknutá ochrana obchodných alebo verejných záujmov
alebo bezpečnosť spracovateľských operácií.
10. Ak má spracúvanie podľa článku 6 ods. 1 písm.
c) alebo e) právny základ v práve Únie alebo v práve členského štátu,
ktorému prevádzkovateľ podlieha, a toto právo upravuje konkrétnu
spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu
na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu
v súvislosti s prijatím tohto právneho základu, odseky 1 až 7 sa
neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto
posúdenie pred začatím spracovateľských činností.
11. V prípade potreby prevádzkovateľ vykoná
prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade
s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo
k zmene rizika, ktoré predstavujú spracovateľské operácie.