Artikel 35.4 GDPR bepaalt dat elke toezichthoudende autoriteit een lijst moet opstellen en publiceren van het soort verwerkingen waarvoor verwerkingsverantwoordelijken een gegevensbeschermingseffectbeoordeling (“data protection impact assessment” of “privacy impact assessment” (DPIA)) moet opstellen vooraleer te beginnen met de verwerking.
De officiële finale lijst van de Belgische Gegevensbeschermingsautoriteit (GBA) is gepubliceerd geweest in het Belgisch Staatsblad van 22 maart 2019 en is in werking getreden op 1 april 2019.
Soorten verwerkingen
De GBA heeft beslist dat een DPIA uitgevoerd worden voor de volgende soort verwerkingen:
- wanneer de verwerking gebruik maakt van biometrische gegevens met het oog op de unieke identificatie van betrokkenen die zich in een openbare ruimte bevinden of in privéruimten die toegankelijk zijn voor het publiek;
- wanneer persoonsgegevens ingezameld worden bij derden om vervolgens in aanmerking te worden genomen bij de beslissing om een welbepaalde dienstverleningsovereenkomst met een natuurlijke persoon te weigeren of stop te zetten;
- wanneer gezondheidsgegevens van een betrokkene op geautomatiseerde wijze worden ingezameld aan de hand van een actieve inplantbare medische voorziening;
- wanneer er op grote schaal gegevens ingezameld worden bij derden teneinde de economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of voorspellen;
- wanneer er op systematische wijze bijzondere categorieën van persoonsgegevens in de zin van artikel 9 GDPR of gegevens van zeer persoonlijke aard (zoals gegevens over armoede, werkloosheid, betrokkenheid van jeugdzorg of maatschappelijk werk, gegevens omtrent huishoudelijke en privé-activiteiten, locatiegegevens) systematisch worden uitgewisseld tussen meerdere verwerkingsverantwoordelijken;
- wanneer er sprake is van een grootschalige verwerking van gegevens die gegenereerd worden door middel van toestellen met sensoren die via het internet of via een ander medium gegevens versturen (‘internet of things’-toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, enz.) en deze verwerking dient om de economische situatie, de gezondheid, de persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of te voorspellen;
- wanneer er sprake is van een grootschalige en/of systematische verwerking van telefonie-, internet of andere communicatiegegevens, metagegevens of locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld wifi-tracking of verwerking van locatiegegevens van reizigers in het openbaar vervoer) wanneer de verwerking niet strikt noodzakelijk is voor een door de betrokkene gevraagde dienst;
- wanneer er sprake is van grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd, verzameld, vastgelegd of beïnvloed wordt, inclusief voor advertentiedoeleinden.
Deze lijst is niet exhaustief. Zodra een verwerking valt binnen een situatie in de artikelen 35.1 of 35.3 GDPR, moet een DPIA opgesteld worden. Het is niet omdat een verwerking niet in deze lijst staat, dat er geen DPIA uitgevoerd moet worden. Maar zodra een verwerking wel in deze lijst staat, moet sowieso een DPIA uitgevoerd worden.
De GBA zal deze lijst om de zes maanden herevalueren en indien nodig updaten.
De officiële lijst kan hier gedownload worden.