|
Art. 22 Analyse d’impact relative à la protection des données personnelles
1 Lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles. S’il envisage d’effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d’impact commune. 2 L’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants:
3 L’analyse d’impact contient une description du traitement envisagé, une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée, ainsi que les mesures prévues pour protéger sa personnalité et ses droits fondamentaux. 4 Le responsable du traitement privé est délié de son obligation d’établir une analyse d’impact s’il est tenu d’effectuer le traitement en vertu d’une obligation légale. 5 Le responsable du traitement privé peut renoncer à établir une analyse d’impact lorsqu’il recourt à un système, un produit ou un servicecertifié conformément à l’art. 13 pour l’utilisation prévue ou qu’il respecte un code de conduite au sens de l’art. 11 remplissant les conditions suivantes:
|