Artikkel 36. Forhåndsdrøftinger

Sammandrag: Tilsier en vurdering av personvernkonsekvenser etter artikkel 35 at det foreligger høy risiko for behandlingen om det ikke treffes tiltak for å redusere risikoen skal behandlingsansvarlig rådføre seg med tilsynsmyndighet (Datatilsynet). Tilsynsmyndigheten kan gi skriftlige råd innen åtte uker (eventuelt med tillegg av seks uker) fra mottak av anmodningen. Ved drøftingen skal den behandlingsansvarlige fremlegge informasjon knyttet til behandlingen, se nr. 3. Det kan kreves etter lov at tilsynsmyndighet skal rådføres og gi forhåndsgodkjenning behandling i allmennhetens interesse, herunder sosial trygghet og folkehelse. Myndighetene skal rådføre seg med tilsynsmyndighet ved utarbeidelse av lovgivning som har betydning for behandling av personopplysninger.

1. Den behandlingsansvarlige skal rådføre seg med tilsynsmyndigheten før behandlingen dersom en vurdering av personvernkonsekvenser i henhold til artikkel 35 tilsier at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen.

2. Dersom tilsynsmyndigheten mener at den planlagte behandlingen nevnt i nr. 1 vil være i strid med denne forordning, særlig dersom den behandlingsansvarlige ikke i tilstrekkelig grad har identifisert eller redusert risikoen, skal tilsynsmyndigheten innen en frist på opptil åtte uker fra mottak av anmodningen om drøftinger, gi den behandlingsansvarlige og, dersom det er relevant, databehandleren skriftlige råd, og kan i den forbindelse benytte den myndighet den har i henhold til artikkel 58. Denne fristen kan forlenges med seks uker, idet det tas hensyn til den planlagte behandlingens kompleksitet. Tilsynsmyndigheten skal underrette den behandlingsansvarlige og, dersom det er relevant, databehandleren om en eventuell forlengelse, sammen med årsakene til dette, senest én måned etter å ha mottatt anmodningen om drøftinger. Disse fristene kan utsettes midlertidig fram til tilsynsmyndigheten har innhentet informasjonen den har anmodet i forbindelse med drøftingene.

3. Ved drøftinger med tilsynsmyndigheten i henhold til nr. 1 skal den behandlingsansvarlige framlegge det følgende for tilsynsmyndigheten:

a) dersom det er relevant, ansvarsfordelingen mellom den behandlingsansvarlige, de felles behandlingsansvarlige og databehandlerne som er involvert i behandlingen, særlig ved behandling i et konsern,

b) formålene med og midlene for den planlagte behandlingen,

c) tiltakene og garantiene som er fastsatt for å verne de registrertes rettigheter og friheter i henhold til denne forordning,

d) dersom det er relevant, kontaktopplysningene til personvernombudet,

e) vurderingen av personvernkonsekvenser fastsatt i artikkel 35 og

f) all annen informasjon som tilsynsmyndigheten anmoder om.

4. Medlemsstatene skal rådføre seg med tilsynsmyndigheten ved utarbeiding av forslag til lovgivning som skal vedtas av et nasjonalt parlament, eller av et reguleringstiltak som er basert på slik lovgivning, og som er knyttet til behandling.

5. Uten hensyn til nr. 1 kan det i medlemsstatenes nasjonale rett kreves at de behandlingsansvarlige skal rådføre seg med og innhente forhåndsgodkjenning fra tilsynsmyndigheten i forbindelse med en oppgave som utføres av en behandlingsansvarlig i allmennhetens interesse, herunder knyttet til sosial trygghet og folkehelse.

Relevante fortalepunkter

Konsern*

37. Et konsern bør omfatte et foretak som utøver kontroll, og dets kontrollerte foretak, der foretaket som utøver kontroll, bør være det foretak som kan utøve en dominerende innflytelse på de andre foretakene, f.eks. i kraft av eiendomsrett, økonomisk deltaking eller reglene det er underlagt, eller myndigheten til å få gjennomført regler om vern av personopplysninger. Et foretak som kontrollerer behandlingen av personopplysninger i tilknyttede foretak, bør sammen med disse foretak anses som et konsern.
*ikke offisiell overskrift

Konsultasjon av tilsynsmyndighet ved høy risiko etter vurdering av personvernkonsekvenser (DPIA)*

94. Dersom en vurdering av personvernkonsekvenser viser at behandlingen, i fravær av garantier, sikkerhetstiltak og mekanismer for å redusere risikoen, vil innebære en høy risiko for fysiske personers rettigheter og friheter, og den behandlingsansvarlige mener at risikoen ikke kan reduseres ved hjelp av rimelige midler, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnader, bør tilsynsmyndigheten rådspørres før oppstart av behandlingsaktivitetene. Visse typer behandling og omfanget og hyppigheten av behandlingen kan medføre nevnte høye risiko, som også kan føre til skade for eller inngrep i fysiske personers rettigheter og friheter. Tilsynsmyndigheten bør svare på anmodningen om drøftinger innen en fastsatt frist. En manglende reaksjon fra tilsynsmyndigheten innen nevnte frist bør imidlertid ikke berøre tilsynsmyndighetens mulighet til å gripe inn i samsvar med dens oppgaver og myndighet fastsatt i denne forordning, herunder myndighet til å forby behandlingsaktiviteter. Som en del av nevnte drøftinger kan utfallet av en vurdering av personvernkonsekvenser som utføres med henblikk på den aktuelle behandlingen, framlegges for tilsynsmyndigheten, særlig de planlagte tiltakene for å redusere risikoene for fysiske personers rettigheter og friheter.
*ikke offisiell overskrift

Databehandlers bistand ved vurdering av personvernkonsekvenser (DPIA)*

95. Databehandleren bør ved behov og på anmodning bistå den behandlingsansvarlige med å overholde pliktene som er forbundet med utførelsen av vurderingen av personvernkonsekvenser, og med forhåndsdrøftinger med tilsynsmyndigheten.
*ikke offisiell overskrift

Rådføring med tilsynsmyndighet ved innføring av lovgivning som gjelder behandling av personopplysninger*

96. Tilsynsmyndigheten bør også rådspørres i det forberedende arbeidet med et lovgivningsmessig tiltak eller et reguleringstiltak som gjelder behandling av personopplysninger, for å sikre at den tiltenkte behandlingen oppfyller kravene i denne forordning, og særlig for å redusere risikoen den medfører for den registrerte.
*ikke offisiell overskrift

Engelsk tekst

Article 36. Prior consultation

1. The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

3. When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with:

(a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings;

(b) the purposes and means of the intended processing;

(c) the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation;

(d) where applicable, the contact details of the data protection officer;

(e) the data protection impact assessment provided for in Article 35; and

(f) any other information requested by the supervisory authority.

4. Member States shall consult the supervisory authority during the preparation of a proposal for a legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure, which relates to processing.

5. Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health.

< Artikkel 35 | Artikkel 37 >