Op 28 februari jl., heeft de Commissie voor bescherming van de persoonlijke levenssfeer (Privacycommissie), die op 25 mei 2018 wordt omgedoopt tot de Gegevensbeschermingsautoriteit, de nieuwe verplichting, opgelegd door artikel 35 van de GDPR, tot het uitvoeren van een “Gegevensbeschermingseffectbeoordeling” (“GEB”) geïnterpreteerd. Het doel van deze aanbeveling bestaat in het oplijsten van de gevallen waarin een GEB verplicht is.
Wat is een GEB?
Een GEB, ook wel DPIA genoemd naar de Engelse benaming (“data protection impact assessment”) is een proces dat bedoeld is om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico’s in te schatten en maatregelen te bepalen om ze aan te pakken. Dit proces laat de verwerkingsverantwoordelijke toe om aan te tonen dat hij de principes en beginselen, die worden opgelegd door de GDPR, en in het bijzonder de verplichting om passende maatregelen te nemen om de risico’s die verbonden zijn aan de verwerking van persoonsgegevens, naleeft.
Wanneer is een GEB verplicht?
De GEB is niet vereist voor iedere verwerking van persoonsgegevens, enkel wanneer de gegevensverwerking waarschijnlijk een hoog risico inhoudt voor de betrokken personen. Bovendien heeft de Privacycommissie verduidelijkt dat een GEB enkel verplicht is voor nieuwe processen, maar wordt aanbevolen het ook uit te voeren op de lopende processen met een waarschijnlijk hoog risico. De Privacycommissie lijst, in haar aanbeveling, drie gevallen op waarbij deze bijzondere risicoanalyse moet worden uitgevoerd:
1. Wanneer de verwerking waarschijnlijk “een hoog risico” inhoudt voor de rechten en vrijheden
De GDPR geeft geen definitie van dit begrip “hoog risico”. Volgens de Privacycommissie betreft het een gegevensverwerking waarvan het waarschijnlijk is dat zij wezenlijke negatieve gevolgen zal of kan hebben voor de fundamentele rechten en vrijheden van natuurlijke personen. Dit betekent dus niet dat deze rechten en vrijheden daadwerkelijk geschonden zijn, een waarschijnlijkheid volstaat.
De Artikel 29-werkgroep (“WP29”) , het overkoepelend Europese orgaan van toezichthoudende autoriteiten, heeft negen criteria opgesteld die in rekening moeten worden genomen door de verwerkingsverantwoordelijke om te beoordelen of een verwerking een waarschijnlijk hoog risico inhoudt. Deze negen criteria zijn de volgende:
Evaluatie en scoretoekenning (met inbegrip van profilering en voorspelling) | Verwerking van gevoelige gegevens of gegevens van zeer persoonlijke aard | Gegevens met betrekking tot kwetsbare betrokkenen (bijvoorbeeld kinderen, bejaarden, maar ook werknemers,...) |
Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg |
Verwerking van persoonsgegevens op grote schaal (op basis van het aantal betrokkenen, het volume van de gegevens, duur of permanent karakter of de geografische omvang van de activiteit) | Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen |
Stelselmatige monitoring | Matching of samenvoeging van datasets | Wanneer als gevolg van de verwerking zelf betrokkenen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst |
De Privacycommissie stelt in navolging van de WP29 dat, van zodra een verwerking voldoet aan twee van de 9 criteria, een GEB zal moeten worden uitgevoerd. De WP29 gaat ervan uit dat hoe groter het aantal criteria waaraan een verwerking voldoet, hoe waarschijnlijker het is dat ze een hoog risico inhoudt en een GEB vereist is, ongeacht de maatregelen die de verwerkingsverantwoordelijke voornemens is te nemen om de risico’s in te perken. Indien de verantwoordelijke oordeelt dat een verwerking, die aan minstens twee criteria voldoet, toch geen verwerking uitmaakt die een waarschijnlijk hoog risico inhoudt, zal hij de redenen van zijn beslissing om geen GEB uit te voeren moeten motiveren en documenteren.
Op het eerste zicht kan uit deze aanbeveling afgeleid worden dat het HR-departement van een grote onderneming met veel personeelsleden GEB’s zal moeten uitvoeren voor verschillende processen met betrekking tot een hoog aantal werknemers.
2. De verwerkingen vermeld in artikel 35(3) GDPR
In drie situaties is een GEB steeds vereist:
- Ingeval van een systematische en uitgebreide beoordeling van persoonlijke aspecten, die is gebaseerd op geautomatiseerde verwerking (zelfs gedeeltelijk), en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
- Ingeval van grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1 GDPR (etnische of raciale afkomst, politieke mening,...) of met betrekking tot strafrechtelijke veroordelingen en strafbare feiten;
- Ingeval van stelselmatige en grootschalige (supra) monitoring van openbaar toegankelijke ruimten.
De Privacycommissie viseert vooral de ziekenhuisinformatiesystemen en genetisch onderzoek en cameratoezicht.
3. De lijsten van de toezichthoudende overheid
Iedere toezichthoudende overheid is verplicht om een lijst op te stellen en te publiceren van het soort verwerkingen waarvoor een GEB verplicht is. Elke toezichthoudende overheid mag ook vrijblijvend een lijst opstellen waarvoor een GEB niet vereist is.
Het bestaan van deze lijsten, die niet exhaustief zijn, doet geen enkele afbreuk aan de verplichting tot behoorlijk risicobeheer die geldt voor de verwerkingsverantwoordelijke.
De Privacycommissie heeft nu haar ontwerp lijsten gepubliceerd.
Wanneer moet geen GEB uitgevoerd worden?
In haar ontwerp lijst van het soort verwerking waarvoor geen GEB verplicht is, zonder afbreuk te doen aan de algemene verplichting van de verwerkingsverantwoordelijke om aan behoorlijke risicobeoordeling en risicobeheersing te doen (cf. supra), heeft de Privacycommissie daarbij bovendien ook verduidelijkt dat er geen verplichting bestaat tot uitvoeren van een GEB wanneer de beoogde verwerking:
- noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
- noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
- uitsluitend betrekking heeft op de gegevens welke noodzakelijk zijn voor de loonadministratie van personen in dienst of werkzaam ten behoeve van de verwerkingsverantwoordelijke;
- uitsluitend betrekking heeft op de administratie van het personeel in dienst of werkzaam ten behoeve van de verwerkingsverantwoordelijke;
- uitsluitend betrekking heeft op de boekhouding van de verwerkingsverantwoordelijke wanneer de gegevens uitsluitend worden gebruikt voor die boekhouding;
- uitsluitend betrekking heeft op de administratie van aandeelhouders en vennoten wanneer de verwerking alleen betrekking heeft op gegevens nodig voor die administratie;
- is verricht door een stichting, een vereniging of enig andere instelling zonder winstoogmerk in het kader van haar gewone activiteiten;
- uitsluitend betrekking heeft op de registratie van bezoekers in het kader van toegangscontrole;
- is verricht door onderwijsinstellingen met het oog op het beheer van hun relaties met hun leerlingen of studenten in het kader van hun onderwijsopdrachten;
- uitsluitend betrekking heeft op het beheer van de klanten of leveranciers van de verwerkingsverantwoordelijke.
Bepaalde specifieke voorwaarden dienen echter voldaan te worden voor elk van deze “uitsluitingen”.
- Actiepunt
Elke verwerkingsverantwoordelijke moet toezien op het realiseren van een GEB voorafgaand aan de verwerking waarvoor een dergelijke analyse verplicht is, en bij voorkeur zo vroeg mogelijk in de ontwikkelingsfase. Bovendien zal ook voor lopende processen met waarschijnlijk hoog risico op regelmatige wijze een GEB vereist zijn.