Verordening (EU) 2018/1725 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG:Artikel 39 Gegevensbeschermingseffectbeoordeling

Verordening (EU) 2018/1725 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG

Artikel 39 Gegevensbeschermingseffectbeoordeling

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.

2.

De verwerkingsverantwoordelijke wint bij het uitvoeren van een gegevensbeschermingseffectbeoordeling het advies van de functionaris voor gegevensbescherming in.

3.

Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:

a)

een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

b)

grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 10, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 11, of

c)

stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

4.

De Europese Toezichthouder voor gegevensbescherming stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling op grond van lid 1 verplicht is, en maakt deze lijst openbaar.

5.

De Europese Toezichthouder voor gegevensbescherming kan ook een lijst opstellen en openbaar maken van het soort verwerkingen waarvoor geen gegevensbeschermingseffectbeoordeling is vereist.

6.

Alvorens hij de in de leden 4 en 5 van dit artikel bedoelde lijsten vaststelt, vraagt de Europese Toezichthouder voor gegevensbescherming aan het bij artikel 68 van Verordening (EU) 2016/679 ingestelde Europees Comité voor gegevensbescherming om die lijsten overeenkomstig artikel 70, lid 1, onder e), van die verordening te onderzoeken, met name wanneer zij betrekking hebben op verwerkingen door een verwerkingsverantwoordelijke die gezamenlijk optreedt met één of meer verwerkingsverantwoordelijken die geen instellingen of organen van de Unie zijn.

7.

De beoordeling bevat ten minste:

a)

een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden;

b)

een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;

c)

een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen, en

d)

de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, beveiligingsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

8.

Bij het beoordelen van het effect van de door andere verwerkers dan instellingen en organen van de Unie verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 van Verordening (EU) 2016/679 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.

9.

De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van algemene belangen of de beveiliging van verwerkingen.

10.

Wanneer verwerking op grond van artikel 5, lid 1, onder a) of b), haar rechtsgrond heeft in een op grond van de Verdragen vastgestelde rechtshandeling waarbij de specifieke verwerking of het geheel van verwerkingen in kwestie wordt geregeld, en er reeds als onderdeel van een aan de vaststelling van deze rechtshandeling voorafgaande algemene effectbeoordeling een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 6 van dit artikel niet van toepassing, tenzij die rechtshandeling anders bepaalt.

11.

Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer er zich een verandering van het met de verwerkingen gepaard gaande risico voordoet.

Deze functie is alleen te gebruiken als je bent ingelogd.