Wanneer heeft mijn gegevensverwerking een hoog privacyrisico?

U bent verplicht een Data protection Impact Assessment (DPIA) uit te voeren op het moment dat de gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen. Dit is in ieder geval zo wanneer een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert (profiling), op grote schaal bijzondere persoonsgegevens verwerkt of systematisch en op grote schaal mensen volgt in een publiek toegankelijk gebied (cameratoezicht).

De Werkgroep van Europese Toezichthouders (WP29) heeft criteria opgesteld om te toetsen of een DPIA noodzakelijk is. Beoordeel zelf wat voor u van toepassings is:

• Gevoelige gegevens: Bijzondere categorieën van persoonsgegevens (art. 9 AVG). Het betreft hier informatie over ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, een lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op unieke identificatie van een persoon of gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid. Tot slot gaat het ook over gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.
• Beoordelen van mensen op basis van persoonskenmerken: Het gaat hier om profiling en het maken van prognoses op basis van iemand zijn of haar beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen.
• Gegevens over kwetsbare personen: Hier gaat het bijvoorbeeld om werknemers, kinderen of patiënten waar een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke is. In situaties met een niet-gelijke machtsverhouding is het mogelijk dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor de verwerking van hun gegevens. Een DPIA is daarom noodzakelijk.
• Geautomatiseerde beslissingen: Het gaat hier om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Een dergelijke gegevensverwerking kan ervoor zorgen dat personen worden gediscrimineerd of uitgesloten. Gegevensverwerkingen met weinig of geen gevolgen voor personen vallen hier niet onder.
• Stelselmatige en grootschalige monitoring: Hier gaat het om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht
• Grootschalige gegevensverwerking: Een DPIA is verplicht op het moment dat u aan grootschalige gegevensverwerkingen doet waarbij u individuen volgt of bijzondere persoonsgegevens van individuen verwerkt. Daarnaast moet de grootschalige gegevensverwerking uw kerntaak zijn. Om te bepalen of u op grootschalige wijze gegevens verwerkt kunt u de volgende criteria aanhouden: de hoeveelheid mensen van wie gegevens worden verwerkt, de hoeveelheid gegevens die worden verwerkt, de tijdsduur en geografische reikwijdte van de gegevensverwerking.
• Gekoppelde databases: Dit is van toepassing als een database voortkomt uit meerdere gegevensverwerkingen met verschillende doeleinden en/of uitgevoerd door verschillende verantwoordelijken, op zo’n manier dat betrokkenen dit redelijkerwijs niet kunnen verwachten.
• Gebruik van nieuwe technologieën: Het gebruik van nieuwe technologieën kan een relatie hebben met nieuwe manieren om gegevens te verwerken en gebruiken. Om die reden is ook in deze situatie een DPIA verplicht.
• Blokkering van een recht, dienst of contract: Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen: een recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken of een contract niet kunnen afsluiten

Als uw gegevensverwerking aan twee of meer van de volgende criteria voldoet, is het uitvoeren van een DPIA verplicht.