(1) В зависимости от характера, сферы применения, контекста и целей обработки данных в случае, когда один из видов обработки, в частности, основанный на использовании новых технологий, способен создать высокий риск для прав и свобод лиц, контролер до начала обработки проводит оценку последствий предполагаемых операций по обработке для защиты персональных данных. В отношении нескольких аналогичных операций по обработке, которые характеризуются аналогичными высокими рисками, может проводиться единая оценка.
(2) При проведении оценки последствий для защиты данных контролер запрашивает мнение ответственного по защите данных, если таковой был назначен.
(3) Оценка последствий для защиты данных, указанная в части (1), требуется, в частности, в случае:
a) систематической и всесторонней оценки аспектов личности физических лиц, основанной на автоматической обработке, включая профайлинг, на основании которой принимаются автоматизированные решения, создающие юридические последствия для физического лица, или которая оказывает на него сопоставимое по значимости влияние;
b) широкомасштабной обработки определенных категорий данных, касающихся раскрытия расового или этнического происхождения, политических взглядов, религиозных верований либо философских убеждений или членства в профсоюзах, а также обработки генетической информации, биометрических данных для уникальной идентификации физического лица, информации о состоянии здоровья либо данных о сексуальной жизни или сексуальной ориентации, судимостях физического лица и совершенных им правонарушениях;
c) широкомасштабного систематического мониторинга зоны общего доступа.
(4) Оценка должна включать по меньшей мере:
a) систематическое описание предполагаемых операций по обработке и целей обработки, включая, при необходимости, преследуемый контролером законный интерес;
b) оценку необходимости операций по обработке сообразно с соответствующими целями;
c) оценку рисков для прав и свобод субъектов данных, указанных в части (1), в частности, происхождение (источник), характер, конкретную степень вероятности создания высокого риска и серьезность этого риска. Результат оценки принимается во внимание при установлении надлежащих мер, которые необходимо предпринять для демонстрации соответствия обработки персональных данных настоящему закону;
d) меры по предотвращению рисков, включая гарантии, меры безопасности и механизмы обеспечения защиты персональных данных и демонстрации соблюдения положений настоящего закона с учетом прав и законных интересов субъектов данных и других заинтересованных сторон.
(5) Контролер при необходимости запрашивает в письменной, электронной форме или с использованием электронных средств коммуникации разрешение субъектов данных либо их представителей на предполагаемую обработку без ущерба для защиты коммерческих или общественных интересов либо безопасности операций по обработке.
(6) В случае, когда обработка в соответствии с пунктом b) или d) части (5) статьи 5 проводится по законным основаниям, предусмотренным действующими нормативными актами, при этом соответствующее право регулирует конкретную операцию по обработке либо ряд таких конкретных операций и в контексте принятия соответствующих законных оснований уже проводилась оценка последствий для защиты данных как часть общей оценки последствий, положения частей (1)–(3) настоящей статьи не применяются, если нормативными актами не предусмотрено иное.
(7) При необходимости контролер проводит анализ, чтобы оценить, проводится ли обработка данных в соответствии с оценкой последствий для защиты данных, по меньшей мере в случаях изменения риска, который представляют операции по обработке.
(8) Центр составляет и публикует список видов операций по обработке, в отношении которых в соответствии с частью (1) требуется проведение оценки последствий для защиты данных.
(9) Центр также может установить и обнародовать список видов операций по обработке, для которых не требуется оценка последствий для защиты данных.
Статья 23 Закон O защите персональных данных в Республике Молдова с изменениями 2024 год №133 от 08.07.2011
Структура акта