Legea GDPR 2018 actualizata

(1)   Avand in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii, in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul efectueaza, inaintea prelucrarii, o evaluare a impactului operatiunilor de prelucrare prevazute asupra protectiei datelor cu caracter personal. O evaluare unica poate aborda un set de operatiuni de prelucrare similare care prezinta riscuri ridicate similare. 
 
(2)   La realizarea unei evaluari a impactului asupra protectiei datelor, operatorul solicita avizul responsabilului cu protectia datelor, daca acesta a fost desemnat. 
 
(3)   Evaluarea impactului asupra protectiei datelor mentionata la alineatul (1) se impune mai ales in cazul: 
(a) unei evaluari sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa; 
(b) prelucrarii pe scara larga a unor categorii speciale de date, mentionata la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnari penale si infractiuni, mentionata la articolul 10; sau 
(c) unei monitorizari sistematice pe scara larga a unei zone accesibile publicului. 
 
(4)   Autoritatea de supraveghere intocmeste si publica o lista a tipurilor de operatiuni de prelucrare care fac obiectul cerintei de efectuare a unei evaluari a impactului asupra protectiei datelor, in conformitate cu alineatul (1). Autoritatea de supraveghere comunica aceste liste comitetului mentionat la articolul 68. 
 
(5)   Autoritatea de supraveghere poate, de asemenea, sa stabileasca si sa puna la dispozitia publicului o lista a tipurilor de operatiuni de prelucrare pentru care nu este necesara o evaluare a impactului asupra protectiei datelor. Autoritatea de supraveghere comunica aceste liste comitetului. 
 
(6)   Inainte de adoptarea listelor mentionate la alineatele (4) si (5), autoritatea de supraveghere competenta aplica mecanismul pentru asigurarea coerentei mentionat la articolul 63 in cazul in care aceste liste implica activitati de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii catre persoane vizate sau monitorizarea comportamentului acestora in mai multe state membre ori care pot afecta in mod substantial libera circulatie a datelor cu caracter personal in cadrul Uniunii. 
 
(7)   Evaluarea contine cel putin: 
(a) o descriere sistematica a operatiunilor de prelucrare preconizate si a scopurilor prelucrarii, inclusiv, dupa caz, interesul legitim urmarit de operator; 
(b) o evaluare a necesitatii si proportionalitatii operatiunilor de prelucrare in legatura cu aceste scopuri; 
(c) o evaluare a riscurilor pentru drepturile si libertatile persoanelor vizate mentionate la alineatul (1); si 
(d) masurile preconizate in vederea abordarii riscurilor, inclusiv garantiile, masurile de securitate si mecanismele menite sa asigure protectia datelor cu caracter personal si sa demonstreze conformitatea cu dispozitiile prezentului regulament, luand in considerare drepturile si interesele legitime ale persoanelor vizate si ale altor persoane interesate. 
 
(8)   La evaluarea impactului operatiunilor de prelucrare efectuate de operatorii sau de persoanele imputernicite de operatori relevante, se are in vedere in mod corespunzator respectarea de catre operatorii sau persoanele imputernicite respective a codurilor de conduita aprobate mentionate la articolul 40, in special in vederea unei evaluari a impactului asupra protectiei datelor. 
 
(9)  Operatorul solicita, acolo unde este cazul, avizul persoanelor vizate sau al reprezentantilor acestora privind prelucrarea prevazuta, fara a aduce atingere protectiei intereselor comerciale sau publice ori securitatii operatiunilor de prelucrare. 
 
(10)   Atunci cand prelucrarea in temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic in dreptul Uniunii sau al unui stat membru sub incidenta caruia intra operatorul, iar dreptul respectiv reglementeaza operatiunea de prelucrare specifica sau setul de operatiuni specifice in cauza si deja s-a efectuat o evaluare a impactului asupra protectiei datelor ca parte a unei evaluari a impactului generale in contextul adoptarii respectivului temei juridic, alineatele (1)-(7) nu se aplica, cu exceptia cazului in care statele membre considera ca este necesara efectuarea unei astfel de evaluari inaintea desfasurarii activitatilor de prelucrare. 
 
(11)   Acolo unde este necesar, operatorul efectueaza o analiza pentru a evalua daca prelucrarea are loc in conformitate cu evaluarea impactului asupra protectiei datelor, cel putin atunci cand are loc o modificare a riscului reprezentat de operatiunile de prelucrare. 

Capitolul IV – Operatorul si persoana imputernicita de operator