Effectbeoordeling inzake gegevensbescherming
Voordat u persoonsgegevens verwerkt, moet u, als verwerkingsverantwoordelijke, nagaan of de verwerking al dan niet een groot risico inhoudt voor de vrijheden en rechten van de betrokkenen. Zo ja, dan bent u verplicht om vóór aanvang van uw verwerking een GEB uit te voeren, waarvan de uitkomst eveneens kan leiden tot de conclusie dat een voorafgaande raadpleging van de GBA noodzakelijk is.
Artikel 35 van de AVG legt aan de verwerkingsverantwoordelijke onder andere als verplichting op dat vóór de verwerking een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd wanneer die verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze procedure laat toe om zowel de risico's in te schatten als de manier waarop deze kunnen worden beheerd.
Om uw GEB uit te voeren, dient u indien nodig de hulp in te roepen van uw FGB, maar ook, indien nodig, het advies in te winnen van de betrokkenen of hun vertegenwoordigers over het onderwerp van de voorgenomen verwerking.
Uw GEB onderwerpt uw voorgenomen verwerking aan een beoordeling van de mogelijke hoge risico's die deze voor de betrokkenen kan inhouden, in het licht van alle rechten en vrijheden die zij genieten. Eén GEB kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden. U moet de bijzondere waarschijnlijkheid en ernst van het hoge risico beoordelen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking en met de bronnen van het risico. Uw GEB moet onder meer de maatregelen, waarborgen en mechanismen omvatten die worden voorgenomen om dit risico te beperken, de bescherming van persoonsgegevens te waarborgen en de naleving van de AVG aan te tonen.
Raadpleeg en betrek uw DPO van bij de conceptie van de verwerking en bij de uitwerking van de GEB. Indien noodzakelijk, vraagt u ook de mening van de betrokken of hun vertegenwoordigers over de voorgenomen verwerking.
Om te bepalen of u al dan niet een GEB moet uitvoeren, moet u onder meer rekening houden met de categorieën en het aantal persoonsgegevens, de categorieën en het aantal betrokkenen, de aard, de context, de omvang en het doel van de verwerking, het gebruik van nieuwe technologieën en de categorieën personen die er toegang toe kunnen hebben. Om goed te begrijpen of u al dan niet een GEB moet uitvoeren kan u onze GEB-handleiding raadplegen.
Buiten de verplichte gevallen die wij hieronder bespreken, kan u altijd uit voorzorg en om uw verwerkingsactiviteiten te documenteren uw voorgenomen verwerkingen van persoonsgegevens onderwerpen aan een GEB.
Dit is echter steeds verplicht in 3 gevallen.
Ten eerste, in het licht van artikel 35.3 van de AVG, indien uw voorgenomen verwerking betrekking heeft op:
- een beoordeling van persoonlijke aspecten zoals profilering, gevolgd door een beslissing over de betrokken natuurlijke persoon,
- een grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 of 10 van de AVG,
- een stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Verder, indien uw voorgenomen verwerking is opgenomen in de lijst van verwerkingen waarvoor een GEB verplicht is, lijst die door de GBA is aangenomen overeenkomstig artikel 35.4 van de AVG.
Ten slotte, indien uw voorgenomen verwerking niet in de bovengenoemde lijst van soorten verwerkingen voorkomt, moet deze nog steeds worden onderworpen aan een voorafgaand GEB indien zij voldoet aan de criteria die zijn vastgesteld door de Werkgroep Artikel 29 om te bepalen of een verwerking een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen.
U bent verplicht om, voordat u met uw verwerking van start gaat, de GBA te raadplegen, als uit uw GEB een hoog restrisico naar voren komt.
Niet voor alle verwerkingen waarvoor een voorafgaande GEB wordt uitgevoerd, is een voorafgaand advies van de gegevensbeschermingsautoriteit vereist.
U moet, voordat u met uw verwerking van start gaat, de GBA raadplegen, wanneer uit uw GEB blijkt dat de voorgenomen verwerking een hoog restrisico inhoudt. Er is sprake van dergelijke risico’s wanneer deze blijven voortbestaan ondanks de maatregelen die u hebt genomen of zult nemen om de risico’s te beperken. Ook wanneer u van mening bent dat u voldoende maatregelen hebt genomen om te vermijden dat een hoog restrisico overblijft, vergeet niet om dit te documenteren zodat u dit, indien noodzakelijk, kan aantonen bij de GBA. Vergeet evenmin om uw beslissing om al dan niet een GEB uit te voeren of de GBA te consulteren ook te documenteren.
Aarzel niet om de GBA te raadplegen indien u twijfelt over het bestaan van een hoog restrisico voordat u de verwerking start.
U dient dan het Formulier - Voorafgaande raadpleging in te vullen en hierbij aan de GBA alle informatie te verstrekken die nuttig is voor de analyse ervan. De GBA zal advies uitbrengen over het (de) vastgestelde risico('s) en de voorgestelde maatregelen in het licht van de voorgenomen verwerking. De GBA brengt alleen een advies uit over het risico op schendingen van de AVG indien de vooropgestelde verwerking ongewijzigd van start zou gaan. De GBA formuleert dan ook aanbevelingen die de verwerkingsverantwoordelijke in acht moet nemen. De verwerkingsverantwoordelijke moet het gevolg dat hij geeft aan deze aanbevelingen eveneens documenteren en op eerste verzoek ter beschikking stellen van de GBA.