Madde 35 - Veri koruma etki değerlendirmesi

  1. Özellikle yeni teknolojiler kullanıldığında ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında bir işleme türünün gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, kontrolör, işleme faaliyetinden önce, öngörülen işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapar. Tek bir değerlendirmede benzeri yüksek riskler taşıyan bir dizi benzer işleme faaliyeti ele alınabilir.
  2. Kontrolör, bir veri koruma etki değerlendirmesi gerçekleştirirken, belirlenmiş olması halinde, veri koruma görevlisinin tavsiyesine başvurur.
  3. 1. paragrafta atıfta bulunulan bir veri koruma etki değerlendirmesine aşağıdaki durumlarda özellikle ihtiyaç duyulur:
    1. gerçek kişilerle ilgili kişisel özellikler hususunda profil çıkarma da dahil olmak üzere otomatik işlemeye dayalı olan ve gerçek kişi ile ilgili hukuki sonuçlar doğuran veya gerçek kişiyi kayda değer şekilde etkileyen kararların dayandığı sistematik ve kapsamlı bir değerlendirme;
    2. 9(1) maddesinde atıfta bulunulan özel kategorilerdeki verilerin veya 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesi veya
    3. kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi.
  4. Denetim makamı 1. paragraf uyarınca bir veri koruma etki değerlendirmesi gerekliliğine tabi olan işleme faaliyeti türlerine ilişkin bir liste oluşturur ve bu listeyi kamuya açıklar. Denetim makamı bu listeleri 68. maddede atıfta bulunulan Kurula iletir.
  5. Denetim makamı herhangi bir veri koruma etki değerlendirmesinin gerekli olmadığı işleme faaliyeti türlerine ilişkin bir liste oluşturur ve bu listeyi kamuya açıklar. Denetim makamı bu listeleri Kurula iletir.
  6. 4 ve 5. paragraflarda atıfta bulunulan listelerin kabulünden önce, söz konusu listelerin veri sahiplerine mallar veya hizmetlerin sağlanması ya da onların çeşitli üye devletlerdeki davranışlarının izlenmesi ile ilgili olan veya kişisel verilerin Birlik içerisinde serbest dolaşımını kayda değer ölçüde etkileyebilecek işleme faaliyetlerine yer verildiği hallerde, yetkin denetim makamı 63. maddede atıfta bulunulan tutarlılık mekanizmasını uygular.
  7. Değerlendirme en azından şunları içerir:
    1. uygun olduğu hallerde, kontrolör tarafından gözetilen meşru menfaat de dahil olmak üzere öngörülen işleme faaliyetleri ve işleme amaçlarına ilişkin sistematik bir açıklama;
    2. işleme faaliyetlerinin amaçlarla ilişkili olarak gerekliliği ve orantılılığına yönelik bir değerlendirme;
    3. 1. paragrafta atıfta bulunulduğu üzere veri sahiplerinin hakları ve özgürlüklerine yönelik risklere ilişkin bir değerlendirme ve
    4. veri sahipleri ve ilgili diğer kişilerin hakları ve meşru menfaatleri dikkate alınarak, kişisel verilerin korunmasının sağlanması ve bu Tüzük’e uygun hareket edildiğinin gösterilmesiyle ilgili güvenceler, güvenlik tedbirleri ve mekanizmalar da dahil olmak üzere risklerin ele alınması hususunda öngörülen tedbirler.
  8. 40. maddede atıfta bulunulan onaylı davranış kurallarına ilgili kontrolörler veya işleyiciler tarafından uyum, söz konusu kontrolörler veya işleyiciler tarafından özellikle bir veri koruma etki değerlendirmesi amaçlarına yönelik olarak gerçekleştirilen işleme faaliyetlerinin etkisinin değerlendirilmesi hususunda dikkate alınır.
  9. Uygun olduğu hallerde, kontrolör, ticari menfaatler veya kamu menfaatlerinin korunmasına ya da işleme faaliyetlerinin güvenliğine halel gelmeksizin, veri sahipleri veya temsilcilerinin amaçlanan işleme faaliyetine ilişkin görüşlerini alır.
  10. 6(1) maddesinin (c) veya (e) bendi uyarınca gerçekleştirilen bir işleme faaliyetinin Birlik hukukunda veya kontrolörün tabi olduğu üye devletin kanununda bir yasal dayanağının bulunduğu, söz konusu kanunun spesifik bir işleme faaliyeti veya bir dizi faaliyeti düzenlediği ve bir veri koruma etki değerlendirmesinin söz konusu yasal dayanağın kabulü bağlamında genel bir etki değerlendirmesinin parçası olarak halihazırda gerçekleştirilmiş olduğu hallerde, üye devletlerin işleme faaliyetlerinden önce böylesi bir değerlendirme yapılmasını gerekli görmemesi durumunda, 1 ila 7. paragraflar uygulanmaz.
  11. Gerekmesi halinde, en azından işleme faaliyetlerinin teşkil ettiği risk açısından bir değişiklik meydana geldiğinde, kontrolör işleme faaliyetinin veri koruma etki değerlendirmesi uyarınca gerçekleştirilip gerçekleştirilmediğini değerlendirmek üzere bir gözden geçirme gerçekleştirir.