1. Pokud je pravděpodobné, že určitý druh
zpracování, zejména při využití nových technologií, bude s přihlédnutím
k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek
vysoké riziko pro práva a svobody fyzických osob, provede správce před
zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu
osobních údajů. Pro soubor podobných operací zpracování, které
představují podobné riziko, může stačit jedno posouzení.
2. Při provádění posouzení vlivu na ochranu
osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních
údajů, byl-li jmenován.
3. Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:
a) systematické a rozsáhlé vyhodnocování
osobních aspektů týkajících se fyzických osob, které je založeno na
automatizovaném zpracování, včetně profilování, a na němž se zakládají
rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky
nebo mají na fyzické osoby podobně závažný dopad;
b) rozsáhlé zpracování zvláštních
kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících
se rozsudků v trestních věcech a trestných činů uvedených v článku 10;
nebo
c) rozsáhlé systematické monitorování veřejně přístupných prostorů.
4. Dozorový úřad sestaví a zveřejní seznam druhů
operací zpracování, které podléhají požadavku na posouzení vlivu na
ochranu osobních údajů podle odstavce 1. Dozorový úřad uvedené seznamy
předá sboru.
5. Dozorový úřad může rovněž sestavit a zveřejnit
seznam druhů operací zpracování, u nichž není posouzení vlivu na
ochranu osobních údajů nutné. Dozorový úřad uvedené seznamy předá sboru.
6. Před přijetím seznamů podle odstavců 4 a 5
použije příslušný dozorový úřad mechanismus jednotnosti uvedený v článku
63, pokud tyto seznamy zahrnují činnosti zpracování související s
nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich
chování v několika členských státech, nebo jestliže dané seznamy mohou
výrazně ovlivnit volný pohyb osobních údajů v rámci Unie.
7. Posouzení obsahuje alespoň:
a) systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
b) posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
c) posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a
d) plánovaná opatření k řešení těchto
rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění
ochrany osobních údajů a k doložení souladu s tímto nařízením, s
přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších
dotčených osob.
8. Dodržování schválených kodexů chování podle
článku 40 příslušnými správci nebo zpracovateli se řádně zohlední při
posuzování dopadu operací zpracování prováděných těmito správci či
zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních
údajů.
9. Správce ve vhodných případech získá k
zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců,
aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo
bezpečnost operací zpracování.
10. Pokud má zpracování podle čl. 6 odst. 1 písm.
c) nebo e) právní základ v právu Unie nebo členského státu, které se na
správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor
operací zpracování a pokud bylo posouzení vlivu na ochranu osobních
údajů již provedeno jakožto součást obecného posouzení dopadů
v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se
nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení
před činnostmi zpracování za nezbytné.
11. Správce případně provede přezkum s cílem
posoudit, zda je zpracování prováděno v souladu s posouzením vlivu
na ochranu osobních údajů alespoň v případech, kdy dojde ke změně
rizika, jež představují operace zpracování.