1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem
nowych technologii – ze względu na swój charakter, zakres, kontekst
i cele z dużym prawdopodobieństwem może powodować wysokie
ryzyko naruszenia praw lub wolności osób fizycznych, administrator
przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla
podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
2. Dokonując oceny skutków dla ochrony danych, administrator
konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.
3. Ocena skutków dla ochrony danych, o której mowa w ust. 1,
jest wymagana w szczególności w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych
odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę
fizyczną;
b)
*
przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych
dotyczących wyroków skazujących i czynów zabronionych,
o czym mowa w art. 10; lub
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
4. Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony
Danych, o której mowa w art. 68.
5. Organ nadzorczy może także ustanowić i podać do wiadomości
publicznej wykaz rodzajów operacji przetwarzania niepodlegających
wymogowi dokonania oceny skutków dla ochrony danych. Organ
nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych.
6. Jeżeli wykazy, o których mowa w ust. 4 i 5, obejmują czynności
przetwarzania związane z oferowaniem towarów lub usług osobom,
których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii, przed przyjęciem takich
wykazów właściwy organ nadzorczy stosuje mechanizm spójności,
o którym mowa w art. 63.
7. Ocena zawiera co najmniej:
a) systematyczny opis planowanych operacji przetwarzania i celów
przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane
dotyczą, o którym mowa w ust. 1; oraz
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić
ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
8. Oceniając – w szczególności do celów oceny skutków dla
ochrony danych – skutki operacji przetwarzania wykonywanych
przez administratora lub podmiot przetwarzający, uwzględnia się
przestrzeganie przez takiego administratora lub taki podmiot przetwarzający zatwierdzonych kodeksów postępowania, o których
mowa w art. 40.
9. W stosownych przypadkach administrator zasięga opinii osób,
których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych
lub publicznych lub bezpieczeństwa operacji przetwarzania.
10. Ust. 1–7 nie mają zastosowania, jeżeli przetwarzanie na mocy
art. 6 ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo
takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej – chyba że
państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.
11. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu,
by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków
dla ochrony danych.
*
Artykuł 35 ust. 3 lit. b zmieniony sprostowaniem z dnia 23.05.2018 r. (Dz.Urz.
UE L z 2018 r., Nr 127, poz. 2), które wchodzi w życie 23.05.2018 r.
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradnikówi 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>
Potwierdź swój adres e-mail
Wysłaliśmy do Ciebie wiadomość.
Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu
poradników i szkoleń. Potwierdź swój adres e-mail klikając
w link, który znajdziesz w wiadomości od ODO 24.
Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w
przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij
prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość
pożądaną”).
Zamknij
Szukaj w ODO24.pl
Zapisz się na biuletyn ODO 24
Każdy czytelnik naszego biuletunu
otrzymuje pakiet 4 bezpłatnych
poradników i 4 mikroszkoleń RODO.
Biuletyn z nowościami z obszaru ochrony danych osobowych
i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812)
przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny
na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu
przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w
Polityce prywatności.
Potwierdź swój adres e-mail
Wysłaliśmy do Ciebie wiadomość.
Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu
poradników i szkoleń. Potwierdź swój adres e-mail klikając
w link, który znajdziesz w wiadomości od ODO 24.
Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w
przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij
prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość
pożądaną”).