КЗЛД прие списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка за въздействие

Съгласно чл. 35 пар. 1 от Регламент 2016/ 679 (GDPR) администраторите на лични данни имат задъжението да извършват оценка на въздействието винаги, когато съществува вероятност определен вид обработване да поради висок риск за правата и свободите на физическите лица. За да подпомогне изпълнението му Комисията за защита на личните данни (КЗЛД), съгласно чл. 35 пар. 4 от Регламента, на редовно заседание в началото на февруари 2019 година, прие списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка на въздействие. Приетият списък не е изчерпателен и може да бъде  допълван впоследствие.

Във всички случаи, когато съществува вероятност определен вид обработване да породи висок риск за правата и свободите на субектите на лични данни, администраторът е длъжен да извърши оценка на въздействието, както и в хипотезите на чл. 35 пар. 3, а именно: – систематична и  подробна оценка на  личните аспекти по  отношение на  физически лица, която се  базира на автоматично обработване, включително. профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице; – мащабно обработване на специални категории данни, посочени в член 9, параграф 1 или на лични данни за присъди и нарушения по член 10; или  систематично мащабно наблюдение на публично достъпна зона.

Към изброените по- горе случаи, в които от администратора се изисква да извърши оценка на въздействието, с приетия от КЗЛД списък се включват и следните операции, а именно:

  1. Мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице, което не е спорадично.
  2. Обработване на генетични данни с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
  3. Обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен.
  4. При невъзможност за предоставяне на информация на субекта на данни по чл. 14 от Регламент (ЕС) 2016/679 или ако предоставянето на тази информация изисква несъразмерно големи усилия, или има вероятност да направи невъзможно, или сериозно да затрудни постигането на целите на обработване, когато това е свързано с мащабно обработване на данни.
  5. Обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България.
  6. Редовно и систематично обработване, при което предоставянето на информацията по чл. 19 от Регламент (ЕС) 2016/679 от администратора на субекта на данни е невъзможно или изисква несъразмерно големи усилия.
  7. Обработване на лични данни на деца при пряко предлагане на услуги на информационното общество.
  8. Осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни.