Besluit
De Autoriteit Persoonsgegevens,
gelet op artikel 35, vierde lid, in samenhang bezien met artikel 57, eerste lid, onder
k, van de Algemene verordening gegevensbescherming;
gezien de “Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of
een verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van Verordening 2016/679” d.d. 4 april 2017, laatstelijk gewijzigd en vastgesteld op 4 oktober 2017, van de
European Data Protection Board (hierna: de Richtsnoeren);
overwegende:
dat in de Richtsnoeren negen criteria zijn vermeld die in aanmerking moeten worden
genomen bij de beoordeling of een gegevensbeschermingseffectbeoordeling (DPIA) moet
worden uitgevoerd, te weten in het geval dat sprake is van:
-
1. Evaluatie of scoretoekenning
-
2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
-
3. Stelselmatige monitoring
-
4. Gevoelige gegevens of gegevens van zeer persoonlijke aard
-
5. Op grote schaal verwerkte gegevens
-
6. Matching of samenvoeging van datasets
-
7. Gegevens met betrekking tot kwetsbare betrokkenen
-
8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische
oplossingen
-
9. de situatie waarin als gevolg van de verwerking zelf "betrokkenen [...] een recht
niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst";
dat voor alle soorten verwerkingen van persoonsgegevens die op de lijst staan, is
aangegeven welk criterium uit de Richtsnoeren in aanmerking is genomen;
dat voor alle soorten verwerkingen van persoonsgegevens die op de lijst staan, onverkort
geldt dat moet worden voldaan aan alle verplichtingen die de Algemene verordening
gegevensbescherming stelt;
dat de lijst omschrijvingen van soorten verwerkingen bevat waarbij het uitgangspunt
is dat de verwerkingsverantwoordelijke verplicht is een gegevensbeschermingseffectbeoordeling
(DPIA) uit te voeren voordat met de verwerking van persoonsgegevens wordt begonnen;
dat de lijst niet uitputtend is en dat het kan zijn dat een verwerking van persoonsgegevens
niet op de lijst staat, maar gelet op de aard, de omvang, de context en de doeleinden
een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen en aldus
een gegevensbeschermingseffectbeoordeling (DPIA) moet worden gedaan;
dat de Autoriteit Persoonsgegevens op grond van artikel 35, zesde lid, van de Algemene
verordening gegevensbescherming het in artikel 63 van de Algemene verordening gegevensbescherming
bedoelde coherentiemechanisme heeft toegepast;
dat dit coherentiemechanisme heeft geleid tot toevoeging van een extra categorie van
verwerkingen van persoonsgegevens, te weten biometrische gegevens, alsmede tot enkele
tekstuele wijzigingen;
stelt vast
dat voor de volgende verwerkingen van persoonsgegevens een gegevensbeschermingseffectbeoordeling
(DPIA) verplicht is: