Ga terug naar de hoofdpagina van de richtsnoeren inzake gegevensbescherming voor de organisatoren
Richtsnoeren inzake gegevensbescherming — vraag 6
Wanneer en hoe moet u een gegevensbeschermingseffectbeoordeling uitvoeren?
Van toepassing op scenario 2, behalve wat betreft het gebruik van de bestandenuitwisselingsdienst van de Commissie
Als vertegenwoordiger moet u een gegevensbeschermingseffectbeoordeling uitvoeren telkens wanneer de verwerking waarschijnlijk een groot risico voor de rechten en vrijheden van personen inhoudt. Dit is met name vereist in geval van de verwerking van gevoelige gegevens op grote schaal.
Het Europees Comité voor gegevensbescherming heeft richtsnoeren opgesteld voor de gegevensbeschermingseffectbeoordeling. U moet ook nagaan of uw bevoegde nationale gegevensbeschermingsautoriteit nadere richtsnoeren heeft uitgegeven over het tijdstip en de wijze waarop gegevensbeschermingseffectbeoordelingen moeten worden uitgevoerd.
De gegevensbeschermingseffectbeoordeling moet worden uitgevoerd vóór de verwerking en moet worden beschouwd als een levend instrument, niet als een eenmalige procedure. Indien er sprake is van restrisico’s die niet door de getroffen maatregelen kunnen worden beperkt, moet de bevoegde nationale gegevensbeschermingsautoriteit worden geraadpleegd voordat met de verwerking wordt begonnen.
OPMERKING:
Een gegevensbeschermingseffectbeoordeling hoeft niet te worden uitgevoerd voor de verwerking onder gezamenlijke verantwoordelijkheid met de Commissie, aangezien die verwerking al valt onder de door de Commissie uitgevoerde gegevensbeschermingseffectbeoordeling (zie scenario 1).
Referenties:
