第35条 数据保护影响评估
1.当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。若多项高风险处理活动属于同一种类,那么此时仅对其中某一项活动进行评估即可。
2.如果控制者已经委任数据保护官,当其进行数据保护影响评估时,控制者应当向数据保护官进行咨询。
3.在如下情形中,第1段所规定的数据保护影响评估是尤其必须的:
(a)对与自然人相关的个人因素进行系统性与全面性的评价,此类评价建立在自动化处理——包括用户画像——基础上的,并且其决策对自然人产生法律影响或类似重大影响;
(b)以大规模处理的方式处理第9(1)条所规定的特定类型的数据,或者和第10条规定的定罪与违法相关的个人数据;或者
(c)以大规模的方式系统性地监控某个公众可以访问的空间。
4.监管机构应当建立并公开一个列表,列明符合第1段所要求的数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知第68条所提到欧盟数据保护委员会。
5.监管机构还可以建立一个公开性的列表,列明符合不需要进行数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知欧盟数据保护委员会。
6.在设置第4段与第5段所规定的列表之前,当此类列表涉及到为数据主体提供商品或服务,或者涉及到对多个成员国行为的监管,或者可能实质性地影响欧盟内部个人数据的自由流动,有职权的监管机构应当首先适用第63条所规定的一致性机制。
7.评估应当至少包括:
(a)对计划的处理操作和处理目的的系统性描述,以及——如果适用的话——对控制者所追求的正当利益的描述;
(b)对和目的相关的处理操作的必要性与相称性进行分析;
(c)对第1段所规定的给数据主体的权利与自由带来的风险的评估;
(d)结合数据主体和其他相关个人的权利与正当利益,采取的计划性风险应对措施,包括保障个人数据保护和证明遵循本条例的安全保障、安全措施和机制。
8.评估相关控制者或处理者的处理操作的影响时,特别是评估数据保护影响时,应当合理考虑其对第40条所规定的已生效的行为准则的遵守。
9.在合适的情形下,如果其不影响保护商业或公共利益或处理操作的安全性,控制者应当咨询数据主体或数据主体代表对于其预期处理的观点。
10.当基于第6(1)条(c)或(e)点而进行的处理符合欧盟或成员国为控制者制定涉及到处理操作的法律,并且在制定其法律基准时已经进行了作为一般性影响评估一部分的数据保护影响评估时,第1至7段不应当适用,除非成员国认为,有必要在处理活动前进行此类评估。
11.必要时,控制者应当进行核查,评估处理是否是符合数据保护影响评估,至少当处理操作所带来的风险存在变化时,应进行核查。
