Overeenkomstig artikel 35 van Verordening 2016/679 (AVG) is een gegevensbeschermingseffectbeoordeling (DPIA) een proces dat bedoeld is om de verwerking te beschrijven, de noodzaak en de evenredigheid ervan te beoordelen en de risico’s voor de rechten en vrijheden van natuurlijke personen als gevolg van de verwerking van persoonsgegevens te helpen beheren door deze te beoordelen en de maatregelen vast te stellen die nodig zijn om deze risico’s aan te pakken. DPIA’s zijn belangrijke instrumenten voor de verantwoordingsplicht, aangezien zij de verwerkingsverantwoordelijken niet alleen helpen om te voldoen aan de eisen van de AVG, maar ook om aan te tonen dat passende maatregelen zijn genomen om de naleving van de verordening te verzekeren.
Wanneer is een DPIA verplicht?
De AVG vereist niet dat voor elke verwerking die risico’s voor de rechten en vrijheden van natuurlijke personen met zich mee kan brengen, een DPIA wordt uitgevoerd. De uitvoering van een DPIA is alleen verplicht wanneer de verwerking “een groot risico kan inhouden voor de rechten en vrijheden van natuurlijke personen“.
In deze zin geeft artikel 35, lid 3, van de AVG een aantal voorbeelden van gevallen waarin een verwerking “waarschijnlijk tot hoge risico’s zal leiden“:
- een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
- grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of
- stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Om het voor de verwerkingsverantwoordelijken gemakkelijker te maken om verwerkingen waarvoor een DPIA nodig is, te identificeren, bepaalt de AVG dat de toezichthoudende autoriteiten een lijst van verwerkingen waarvoor een DPIA nodig is, moeten publiceren. Deze lijst moet worden meegedeeld aan het Europees Comité voor gegevensbescherming.
Wie is verplicht de DPIA uit te voeren?
De verwerkingsverantwoordelijke is verantwoordelijk voor de uitvoering van de DPIA (artikel 35, lid 2). De uitvoering van de DPIA kan door iemand anders, binnen of buiten de organisatie, worden uitgevoerd, maar de verwerkingsverantwoordelijke blijft uiteindelijk verantwoordelijk voor die taak.
Indien de verwerking geheel of gedeeltelijk door een verwerker wordt uitgevoerd, dient de verwerker de verwerkingsverantwoordelijke bij te staan bij de uitvoering van de DPIA en alle noodzakelijke informatie te verstrekken.