Wat is een gegevensbeschermingseffectbeoordeling?
De GDPR verwacht van ondernemingen dat ze de beveiliging van persoonsgegevens op een weldoordachte en methodische manier aanpakken om dan tot gepaste technische en organisatorische maatregelen te komen ter beveiliging van de gegevens.
Bij het invoeren van een nieuwe technologie of bij een systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen verplicht de GDPR de onderneming om een gegevensbeschermingseffectbeoordeling (“Data protection impact assessment”, hierna DPIA) uit te voeren. Dit is een risicoanalyse die de verwerking van de persoonsgegevens beschrijft, de noodzaak en evenredigheid ervan beoordeelt en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen helpt te beheren door deze risico’s in te schatten. Zo kunnen de gepaste maatregelen ter beveiliging van deze gegevens bepaald worden.
Meer uitgebreide toelichting vindt u tevens in de aanbeveling van de Privacycommissie, de voorloper van de GBA, over dit onderwerp: Aanbeveling nr. 01/2018 van 28 februari 2018.
Wanneer is een DPIA verplicht?
Wanneer de verwerking waarschijnlijk “een hoog risico” inhoudt voor de rechten en vrijheden
De Gegevensbeschermingsautoriteit (GBA) stelt dat een waarschijnlijkheid van “een hoog risico” volstaat. Het overkoepelend Europees orgaan van toezichthoudende autoriteiten somt negen criteria op die een hoog risico aankondigen:
- Evaluatie en scoretoekenning (o.a. profilering en voorspelling)
- geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
- Stelselmatige monitoring
- Verwerking van gevoelige gegevens of gegevens van zeer persoonlijke aard
- Verwerking van persoonsgegevens op grote schaal (rekening houdend met het aantal betrokkenen, het volume van de gegevens, duur of permanent karakter of de geografische omvang van de activiteit)
- Matching en samenvoeging van datasets
- Gegevens met betrekking tot kwetsbare betrokkenen (bv. werknemers, …)
- Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
- Wanneer als gevolg van de verwerking zelf betrokkenen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst.
Rekening houdend met bovenstaande criteria zou er volgens de GBA een DPIA moeten uitgevoerd worden van zodra er twee criteria vervuld zijn [1]. Als de werkgever van oordeel is dat er dan toch geen DPIA uitgevoerd moet worden, moet hij dit kunnen motiveren en documenteren.
Drie specifieke situaties vermeld in artikel 35.3 GDPR
In volgende drie situaties is het verplicht om een DPIA uit te voeren:
- Een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon Rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen
- Grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of
- Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Lijsten van toezichthoudende overheid
Tenslotte is de toezichthoudende overheid bovendien verplicht om een lijst op te stellen waarvoor een DPIA noodzakelijk is. Deze lijst zou dan voorgaande situaties slechts aanvullen, maar niet vervangen.
De GBA, heeft haar definitieve lijst gepubliceerd. Deze lijst is in werking getreden op 1 april 2019.
Verwerkingen waarvoor wel een DPIA uitgevoerd moet worden:
- wanneer de verwerking gebruik maakt van biometrische gegevens met het oog op de unieke identificatie van betrokkenen die zich in een openbare ruimte bevinden of in privé-ruimten die toegankelijk zijn voor het publiek
- wanneer persoonsgegevens ingezameld worden bij derden om vervolgens in aanmerking te worden genomen bij de beslissing om een welbepaalde dienstverleningsovereenkomst met een natuurlijke persoon te weigeren of stop te zetten
- wanneer gezondheidsgegevens van een betrokkene op geautomatiseerde wijze worden ingezameld aan de hand van een actieve inplantbare medische voorziening
- wanneer er op grote schaal gegevens ingezameld worden bij derden teneinde de economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of voorspellen
- wanneer er op systematische wijze bijzondere categorieën van persoonsgegevens in de zin van artikel 9 van de GDPR of gegevens van zeer persoonlijke aard (zoals gegevens over armoede, werkloosheid, betrokkenheid van jeugdzorg of maatschappelijk werk, gegevens omtrent huishoudelijke en privé-activiteiten, locatiegegevens) systematisch worden uitgewisseld tussen meerdere verwerkingsverantwoordelijken
- wanneer er sprake is van een grootschalige verwerking van gegevens die gegenereerd worden door middel van toestellen met sensoren die via het internet of via een ander medium gegevens versturen (‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, enz.) en deze verwerking dient om de economische situatie, de gezondheid, de persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of te voorspellen
- wanneer er sprake is van een grootschalige en/of systematische verwerking van telefonie-, internet- of andere communicatiegegevens, metagegevens of locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld wifi-tracking of verwerking van locatiegegevens van reizigers in het openbaar vervoer) wanneer de verwerking niet strikt noodzakelijk is voor een door de betrokkene gevraagde dienst
- wanneer er sprake is van grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd, verzameld, vastgelegd of beïnvloed wordt, inclusief voor advertentiedoeleinden
|
Voordien bestond er ook een lijst van verwerkingen waarvoor geen DPIA uitgevoerd moest worden:
- verwerkingen door private entiteiten die noodzakelijk zijn om te voldoen aan een wettelijke verplichting die op hen rusten, mits bij wet bepaald werd welke de doeleinden van de verwerking zijn, welke categorieën van persoonsgegevens verwerkt worden en wat de waarborgen zijn ter voorkoming van misbruik of onrechtmatige toegang of doorgifte
- verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op gegevens welke noodzakelijk zijn voor de loonadministratie van personen in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die loonadministratie, alleen worden meegedeeld aan de ontvangers die daartoe gerechtigd zijn en niet langer worden bewaard dan nodig voor de doeleinden van de verwerking
- verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van het personeel in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking, voor zover deze verwerking geen betrekking heeft op gegevens betreffende de gezondheid van de betrokken persoon, noch op bijzondere categorieën van gegevens in de zin van artikel 9 AVG, noch op strafrechtelijke veroordelingen en strafbare feiten in de zin van artikel 10 AVG of op gegevens die een beoordeling van de betrokken persoon tot doel hebben en de verwerkte persoonsgegevens niet langer worden bewaard dan nodig voor de personeelsadministratie en alleen in het kader van de toepassing van een wets- of verordeningsbepaling of indien nodig voor de verwezenlijking van de doelstellingen van de verwerking aan derden worden meegedeeld
- verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de boekhouding van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die boekhouding, de verwerking alleen betrekking heeft op personen van wie de gegevens noodzakelijk zijn voor de boekhouding en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking en de verwerkte persoonsgegevens alleen aan derden worden meegedeeld in het kader van de toepassing van een wets- of verordeningsbepaling of wanneer de mededeling noodzakelijk is voor de boekhouding
- verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van aandeelhouders en vennoten wanneer de verwerking alleen betrekking heeft op gegevens nodig voor die administratie, die gegevens alleen personen betreffen van wie de gegevens nodig zijn voor die administratie, de gegevens alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking
- verwerkingen van persoonsgegevens verricht door een stichting, een vereniging of enig andere instelling zonder winstoogmerk in het kader van haar gewone activiteiten, voor zover de verwerking uitsluitend betrekking heeft op persoonsgegevens betreffende de eigen leden, betreffende personen met wie de verantwoordelijke voor de verwerking regelmatige contacten onderhoudt en betreffende begunstigers van de stichting, vereniging of instelling en er geen personen worden geregistreerd op grond van gegevens verkregen van derden en de verwerkte persoonsgegevens niet langer worden bewaard dan nodig voor de administratie van de leden, van de contactpersonen en van de begunstigers en alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld
- verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de registratie van bezoekers in het kader van een toegangscontrole wanneer de verwerkte gegevens beperkt blijven tot de naam en het beroepsadres van de bezoeker, de identificatie van zijn werkgever, de identificatie van het voertuig van de bezoeker, de naam, afdeling en functie van de bezochte persoon en het tijdstip van het bezoek en waarbij de verwerkte persoonsgegevens mogen uitsluitend worden gebruikt voor de toegangscontrole en niet langer worden bewaard dan nodig voor dat doel
- verwerkingen van persoonsgegevens verricht door onderwijsinstellingen met het oog op het beheer van hun relaties met hun leerlingen of studenten in het kader van hun onderwijsopdrachten, voor zover de verwerking alleen betrekking heeft op persoonsgegevens betreffende potentiële, huidige en gewezen leerlingen of studenten van de betrokken onderwijsinstelling en er geen personen worden geregistreerd op grond van gegevens verkregen van derden en alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het beheer van de relatie met de leerling of student
- verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op het beheer van de klanten of leveranciers van de verantwoordelijke voor de verwerking, voor zover de verwerking alleen betrekking heeft op bestaande en gewezen klanten of leveranciers van de verantwoordelijke voor de verwerking en de verwerking geen betrekking heeft op bijzondere categorieën van gegevens in de zin van artikel 9 AVG, noch op strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG en er, wat de klantenadministratie betreft, geen gegevens afkomstig van derden worden geregistreerd en de verwerkte persoonsgegevens niet langer worden bewaard dan nodig voor de normale bedrijfsvoering van de verantwoordelijke voor de verwerking en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of voor de normale bedrijfsvoering aan derden worden meegedeeld
Deze lijst wordt niet meer opgenomen in de beslissing van het Algemeen Secretariaat van de Gegevensbeschermingsautoriteit die op 1 april 2019 in werking is getreden. Aangezien de hiervoor genoemde verwerkingen evenwel niet zijn opgenomen in de officiële lijst van verwerkingen waarvoor een DPIA noodzakelijk is, zijn wij van oordeel dat voor deze verwerkingen geen DPIA nodig is.
Deze lijst is informatief omdat de GDPR niet oplegt om een lijst op te stellen van verwerkingen waarvoor geen DPIA moet worden opgemaakt. In geval van twijfel raden wij niettemin aan om een DPIA op te stellen.
|
[1] Rekening houdend met de criteria zou het HR-departement van een grote onderneming met veel personeelsleden verschillende DPIA’s moeten uitvoeren voor verschillende processen door zijn hoog aantal werknemers.