De gegevensbeschermingseffectbeoordeling (DPIA) in de GDPR
Artikel 35 van de Algemene Verordening Gegevensbescherming of GDPR bepaalt dat wanneer een verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, de verwerkingsverantwoordelijke een gegevensbeschermingseffectbeoordeling of DPIA moet uitvoeren. De DPIA analyseert de verwerking in het licht van de GDPR. Een DPIA moet uitgevoerd en afgerond worden alvorens de verwerking plaatsvindt.
Om te bepalen of een verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, somt de GDPR een aantal criteria op:
- De verwerking gaat over tot een evaluatie of score.
- De verwerking vormt een geautomatiseerd besluit dat juridische of gelijkaardige gevolgen heeft.
- De verwerking betreft een systematische monitoring.
- De verwerking omvat gevoelige gegevens.
- De gegevens worden verwerkt op grote schaal.
- De gegevens van meerdere verwerkingen worden samengevoegd of gecombineerd op een manier die de redelijke verwachtingen van de betrokkene overschrijdt.
- Het betreft gegevens van kwetsbare personen (werknemers, kinderen, asielzoekers, gehandicapten, enz.).
- De gegevens worden innovatief gebruikt.
- De gegevens worden overgedragen buiten de EU.
- De verwerking verhindert de betrokkene om een recht uit te oefenen, een overeenkomst uit te voeren of een dienst te gebruiken.
Men kan ervan uitgaan dat indien er twee of meer van de bovenstaande criteria van toepassing zijn, de verwerking een hoog risico inhoudt. Indien een verwerkingsverantwoordelijke in dat geval toch niet tot een DPIA overgaat, dan documenteert hij deze beslissing en motivering.
- Een DPIA bevat minstens de volgende zaken:
- een systematische beschrijving van de beoogde verwerkingen, waaronder de gerechtvaardigde belangen die de verwerkingsverantwoordelijke behartigt;
- een beoordeling van de noodzaak en de evenredigheid van de verwerkingen ten opzichte van de doeleinden;
de beoogde maatregelen om de risico?s aan te pakken, zoals waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat er aan de GDPR werd voldaan. Daarbij moet de verwerkingsverantwoordelijke rekening houden met de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen.
De verwerkingsverantwoordelijke kan de DPIA laten uitvoeren door iemand anders, maar hij draagt de verantwoordelijkheid. De data protection officer of DPO ziet toe op de uitvoering van de DPIA. Eén DPIA kan uitgevoerd worden voor meerdere, gelijkaardige verwerkingen.
Wanneer een verwerkingsverantwoordelijke een DPIA moet uitvoeren, moet hij ook een register aanmaken. In dit register neemt hij al zijn verwerkingsactiviteiten op en noteert hij hun omschrijving (van de gegevens en betrokkenen), hun doel en de veiligheidsmaatregelen die hij heeft genomen.
De DPIA-plicht geldt niet voor verwerkingen die reeds aan de gang zijn vóór 25 mei 2018. Wanneer dit verwerkingsproces echter ingrijpend wijzigt (na 25 mei 2018), zal deze verwerking toch onderworpen worden aan een DPIA-plicht. Een DPIA moet namelijk herzien worden wanneer het risico van de verwerking wijzigt. Een DPIA zal dan ook vaak een voortdurend proces zijn.
Wanneer een verwerkingsverantwoordelijke uit de DPIA afleidt dat hij de risico’s van de verwerking onvoldoende kan aanpakken, raadpleegt hij de toezichthoudende autoriteit.
Dit bericht is een samenvatting/vertaling van een aanbeveling van de Article 29 Data Protection Working Party.
Meer weten.
Bron: Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), Pb.L. 119 van 4 mei 2016.