1. כאשר סוג עיבוד, במיוחד בשימוש בטכנולוגיות חדשות, ותוך התחשבות באופי העיבוד, בהיקפו, בהקשרו ובמטרותיו, עלול לגרום לסיכון גבוה לזכויותיהם ולחירויותיהם של אנשים, בעל השליטה יבצע, טרם העיבוד, הערכה של השפעת פעולות העיבוד הצפויות על הגנת המידע האישי. הערכה אחת עשויה להתייחס למכלול פעולות עיבוד שמגלמות סיכונים גבוהים דומים.

2. בביצוע הערכה של  השפעת הגנת מידע, בעל השליטה ייוועץ בקצין הגנת המידע, ככל שמונה.

3. הערכת השפעת הגנת המידע הנזכר בפסקה 1 תידרש במיוחד במקרה של:

• (א) הערכה שיטתית ונרחבת של אספקטים אישיים הנוגעים לאנשים המבוססת על עיבוד אוטומטי, לרבות יצירת פרופיל, ואשר עליה מבוססות החלטות היוצרות השפעות חוקיות הנוגעות לאדם או משפיעות עליו באופן משמעותי דומה;
• (ב) עיבוד נרחב של קטגוריות מידע מיוחדות הנזכרות בסעיף 9(1), או של מידע אישי הנוגע להרשעות ולעבירות פליליות הנזכר בסעיף 10; או
• (ג) ניטור שיטתי בקנה מידה נרחב של תחום נגיש פומבית.

4. רשות הפיקוח תכין ותפרסם רשימה של סוגי פעולות העיבוד הכפופים לדרישה לביצוע הערכת השפעת הגנת מידע בהתאם לפסקה 1. רשות הפיקוח תעביר רשימות אלה לוועד הנזכר בסעיף 68.

5. כמו כן, רשות הפיקוח רשאית להכין ולפרסם רשימה של סוגי פעולות העיבוד שאינם מחייבים ביצוע הערכת השפעת הגנת מידע. רשות הפיקוח תעביר רשימות אלה לוועד.

6. בטרם אימוץ הרשימות הנזכרות בפסקאות 4 ו-5, רשות הפיקוח המוסמכת תחיל את מנגנון העקביות הנזכר בסעיף 63 כאשר רשימות אלה נוגעות לפעילויות עיבוד ביחס להצעת טובין או שירותים לנושאי מידע או לניטור התנהגותם בכמה מדינות חברות, או עלולות להסב נזק מהותי לתנועתו החופשית של מידע אישי בתוך האיחוד.

7. ההערכה, תכלול, לכל הפחות:

• (א) תיאור שיטתי של פעולות העיבוד הצפויים ושל מטרות העיבוד, לרבות, לפי העניין, האינטרס הלגיטימי של בעל השליטה;
• (ב) אומדן הנחיצות והמידתיות של פעולות העיבוד ביחס למטרות;
• (ג) אומדן הסיכונים לזכויותיהם ולחירויותיהם של נושאי מידע כנזכר בפסקה 1; וכן
• (ד) האמצעים הצפויים לטיפול בסיכונים, לרבות אמצעי הגנה, אמצעי אבטחה ומנגנונים להבטחת ההגנה על מידע אישי ולהוכחת ציות לתקנות אלה תוך התחשבות בזכויות ובאינטרסים הלגיטימיים של נושאי מידע ושל אנשים רלוונטיים אחרים.

8. עמידתם של בעלי השליטה או המעבדים הרלוונטיים בקודי התנהלות מאושרים הנזכרים בסעיף 40, תלקח בחשבון באומדן השפעת פעולות העיבוד המבוצעים על ידם, במיוחד למטרות אומדן השפעת הגנת מידע.

9. במידת הצורך, בעל השליטה יבקש את דעותיהם של נושאי מידע או של נציגיהם באשר לעיבוד המיועד, מבלי לגרוע מההגנה על אינטרסים מסחריים או ציבוריים או מאבטחת פעולות העיבוד.

10. כאשר יש לעיבוד לפי נקודה (ג) או (ה) לסעיף 6(1) בסיס חוקי בחוק איחוד או מדינה חברה החל על בעל השליטה, החוק מסדיר את העיבוד הספציפי או את מערכת הפעולות הרלוונטית, והערכת השפעת הגנת מידע כבר בוצעה כחלק מאומדן השפעה כללית בהקשר של אימוץ אותו בסיס חוקי, פסקאות 1 עד 7 לא יחולו אלא אם מדינות חברות יסברו שיש לבצע הערכה שכזו לפני ביצוע פעילויות עיבוד.

11. במידת הצורך, בעל השליטה יבצע סקירה על מנת להעריך האם עיבוד מבוצע בהתאם להערכת השפעת הגנת המידע, לפחות כאשר חל שינוי בסיכון שמהוות פעולות העיבוד.

ניווט: