DPIA: wanneer voorafgaande raadpleging?

Na de Privacycommissie eerder dit jaar heeft nu ook de Working Party 29 een advies gepubliceerd rond de uitvoering van een Data Protection Impact Assessment (DPIA)

Link CBPL: https://www.privacycommission.be/nl/node/19686

Link WP29: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137

Naast richtlijnen rond de vraag “Wanneer een DPIA uit te voeren?” was een andere belangrijke vraag die beide publicaties beantwoorden “Wanneer moet men op voorafgaande consultatie bij de Data Protection Autority (DPA)?”, welke in Belgie dus de Privacycommissie is.

De voorafgaande consultatie is het overleg dat plaats moeten vinden indien de verwerkingen waarop men een DPIA uitvoert resulteren in een hoog risico voor individuen wiens gegevens verwerkt worden. De GDPR zelf is onduidelijk wanneer dit juist zou moeten aangezien het betreffende artikel (36) en de overweging die er bij hoort (84) elkaar lijken tegen te spreken.

Er zijn twee mogelijk opties:

  • Raadpleging na de uitvoering van een DPIA wanneer er een hoog risico blijkt en men nog niet heeft bepaald welke maatregelen moeten worden genomen om dit risico te beperken (ook wel inherente risico’s)
  • Raadpleging na de uitvoering van een DPIA wanneer er een hoog risico blijkt, zelfs nadat men maatregelen heeft genomen om het risico te beperken (ook wel het residuele risico)

Beide adviezen kiezen hierin nu een duidelijk standpunt: raadpleging van de DPA moet enkel plaats vinden als er een hoog residueel risico is, met andere woorden als er dus ondanks maatregelen toch nog altijd een hoog risico blijft bestaan. Indien dit het geval is zal men de DPA raadplegen en afstemmen welke maatregelen nodig zijn om tot een aanvaardbaar risico te komen.