← Retour vers "Décision du Secrétariat Général n° 1/2019 du 16 janvier 2019 Objet : Adoption de la liste des
catégories de traitement devant faire l'objet d'une analyse d'impact relative à la protection des données
conformément à l'article 35.4 du Règlement Gé Le
Secrétariat Général de l'Autorité de protection des données (ci-après « le Secrétariat Général »(...)"
| Décision du Secrétariat Général n° 1/2019 du 16 janvier 2019 Objet : Adoption de la liste des catégories de traitement devant faire l'objet d'une analyse d'impact relative à la protection des données conformément à l'article 35.4 du Règlement Gé Le Secrétariat Général de l'Autorité de protection des données (ci-après « le Secrétariat Général »(...) | Beslissing van het Algemeen secretariaat nr. 1/2019 van 16 januari 2019 Betreft: Aaname van de lijst met verwerkingen waarvoor een Gegevensbeschermingseffectbeoordeling dient te worden uitgevoerd conform artikel 35.4 van de Algemene Verordening Het Algemeen secretariaat van de Gegevensbeschermingsautoriteit (hierna "het Algemeen secretar(...) |
|---|---|
| COMMISSION DE LA PROTECTION DE LA VIE PRIVEE Décision du Secrétariat Général n° 1/2019 du 16 janvier 2019 Objet : Adoption de la liste des catégories de traitement devant faire l'objet d'une analyse d'impact relative à la protection des données conformément à l'article 35.4 du Règlement Général sur la Protection des données (CO-A-2018-001) Le Secrétariat Général de l'Autorité de protection des données (ci-après « le Secrétariat Général »); Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du | COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER Beslissing van het Algemeen secretariaat nr. 1/2019 van 16 januari 2019 Betreft: Aaname van de lijst met verwerkingen waarvoor een Gegevensbeschermingseffectbeoordeling dient te worden uitgevoerd conform artikel 35.4 van de Algemene Verordening Gegevensbescherming (CO-A-2018-001) Het Algemeen secretariaat van de Gegevensbeschermingsautoriteit (hierna "het Algemeen secretariaat"); Gelet op de Verordening (EU) 2016/679 van het Europees Parlement en de |
| 27 avril 2016 relatif à la protection des personnes physiques à | Raad van 27 april 2016 betreffende de bescherming van natuurlijke |
| l'égard du traitement des données à caractère personnel et à la libre | personen in verband met de verwerking van persoonsgegevens en |
| circulation de ces données, et abrogeant la directive 95/46/CE, en | betreffende het vrije verkeer van die gegevens en tot intrekking van |
| particulier ses articles 35.1, 35.4 et 64 (ci-après « RGPD »); | Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (hierna |
| AVG), inzonderheid artikelen 35.1 en 64; | |
| Vu la loi du 3 décembre 2017 relative à la loi portant création de | Gelet op de wet van 3 december 2017 tot oprichting van de |
| l'Autorité de protection des données, en particulier l'article 20, § 1er, | Gegevensbeschermingsautoriteit, inzonderheid op artikel 20, § 1, 2° |
| 2° (ci-après « LCA »); | (hierna de "WOG"); |
| Vu la loi du 30 juillet 2018 relative à la protection des personnes | Wet van 30 juli 2018 betreffende de bescherming van natuurlijke |
| physiques à l'égard des traitements de données à caractère personnel, | personen met betrekking tot de verwerking van persoonsgegevens, |
| en particulier ses articles 58 et 59 (ci-après « LTD »); | inzonderheid de artikelen 58 en 59 (hierna "WVG"); |
| Vu le Règlement d'ordre intérieur de l'Autorité de Protection des | Gelet op het Reglement van interne orde van de |
| données, en particulier son article 10 (ci-après « ROI ») ; | Gegevensbeschermingsautoriteit, en in het bijzonder artikel 10 (hierna « RIO ») ; |
| Vu l'avis 2/2018 du 25 septembre 2018 du Comité Européen de la | Gelet op het advies 2/2018 van 25 september 2018 van het Europees |
| Protection des données relatif au projet de liste de l'Autorité de | Comité voor Gegevensbescherming over de lijst van de Belgische |
| Protection des données belge concernant les catégories de traitement | Gegevensbeschermingsautoriteit betreffende de categorieën verwerkingen |
| devant faire l'objet d'une analyse d'impact relative à la protection | waarvoor een gegevensbeschermingseffectbeoordeling dient te worden |
| des données conformément à l'article 35.4 du Règlement Général sur la | uitgevoerd overeenkomstig artikel 35.4 van de Algemene Verordening |
| Protection des données (ci-après « l'avis » et « le Comité »); | Gegevensbescherming (hierna "het advies" en "het Comité"); |
| Vu les lignes directrices concernant l'analyse d'impact relative à la | Gelet op de richtsnoeren van de Groep Gegevensbescherming Artikel 29 |
| protection des données du 4 octobre 2017 du Groupe de protection des | van 4 oktober 2017 over de Gegevensbeschermingseffectbeoordeling |
| (hierna: "Richtsnoeren GEB" en "Groep 29"); | |
| données Article 29, (ci-après : "Lignes directrices AIPD" et « Groupe 29 ») ; | Gelet op de aanbeveling uit eigen beweging van de Commissie nr. |
| Vu la Recommandation d'initiative 01/2018 du 28 février 2018 | 01/2018 van 28 februari 2018 met betrekking tot de |
| concernant l'analyse d'impact relative à la protection des données et | gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging |
| la consultation préalable ; Vu le rapport de Debeuckelaere Willem; | Gelet op het verslag van Willem Debeuckelaere; |
| Emet, le 16 janvier 2019, la décision suivante : | Beslist op 16 januari 2019 als volgt: |
| 1. Conformément à l'article 35.4 du RGPD, chaque Autorité nationale de | 1. Overeenkomstig artikel 35.4 van de AVG dient elke |
| Protection des données est tenue d'établir et de publier une liste des | Gegevensbeschermingsautoriteit een lijst op te stellen en te |
| types d'opérations de traitement pour lesquelles une analyse d'impact | publiceren met de verwerkingsactiviteiten waarvoor een |
| relative à la protection des données est requise. Avant la publication | gegevensbeschermingseffectbeoordeling is vereist. Alvorens deze lijst |
| de cette liste, l'Autorité est tenue de communiquer cette liste au | te publiceren dient de Autoriteit deze voor te leggen aan het Comité |
| Comité afin qu'il puisse rendre un avis. | opdat dit een advies zou kunnen uitbrengen. |
| 2. Dans l'attente de la mise en place de l'Autorité, la Commission de | 2. In afwachting van de oprichting van de Autoriteit heeft de |
| la Protection de la Vie Privée a souhaité adopter une Recommandation | Commissie voor het opstellen van de persoonlijke levenssfeer een |
| relative aux AIPD. Elle a pour ce faire procédé en amont à une | aanbeveling goedgekeurd over de GEB. Hiertoe heeft zij voorafgaand een |
| consultation publique en soumettant un premier projet de | openbare raadpleging gehouden door een eerste ontwerpaanbeveling in te |
| recommandation qu'elle a remanié en tenant compte des retours obtenus | dienen die opnieuw werd herwerkt, rekening houdend met de verkregen |
| ainsi que de l'article 35 et des Lignes Directrices du Groupe 29. | feedback en met artikel 35 en de richtsnoeren van de Groep 29. |
| C'est ainsi qu'elle a pu adopter sa recommandation 01/2018 en date du | |
| 28 février 2018 à laquelle était notamment annexé un projet de liste | Zodoende kon zij op 28 februari 2018 haar aanbeveling 01/2018 |
| goedkeuren waarbij onder meer een ontwerplijst was gevoegd met | |
| des opérations de traitements impliquant obligatoirement la | verwerkingsactiviteiten die de verplichte uitvoering van een GEB |
| réalisation d'une AIPD. | impliceren. |
| 3. L'Autorité a ensuite ratifié ce projet afin de le soumettre à | 3. De Autoriteit heeft dit ontwerp vervolgens geratificeerd teneinde |
| l'avis du Comité conformément à la procédure de l'article 64 du RGPD. | het voor advies voor te leggen aan het Comité, conform de procedure van artikel 64 van de AVG. |
| 4. En date du 25 septembre 2018, le Comité a rendu un avis impliquant | 4. Op 25 september 2018 heeft het Comité een advies uitgebracht dat |
| des modifications au projet de liste adoptée par la Commission et | wijzigingen impliceert aan de ontwerplijst die door de Commissie werd |
| ensuite ratifié par l'Autorité. | goedgekeurd en vervolgens door de Autoriteit geratificeerd. |
| 5. Le Secrétariat général, chargé d'adopter la liste relative aux AIPD | 5. Het Algemeen secretariaat, overeenkomstig artikel 20, § 1, 2° van |
| conformément à l'article 20, § 1er, 2° de la LCA, a ainsi tenu compte | de WOG belast met het opstellen van de lijst betreffende de GEB, heeft |
| des remarques et observations faites par le Comité dans son avis ainsi | aldus rekening gehouden met de door het Comité in zijn advies |
| geformuleerde opmerkingen en bedenkingen, alsook met de door de Groep | |
| que des critères retenus par le Groupe 29 dans ses Lignes Directrices | 29 in zijn richtsnoeren weerhouden criteria en legde een aangepaste |
| et a soumis un projet de liste adapté au Comité. | ontwerplijst voor aan het Comité. |
| 6. Après validation du projet par ce dernier, et consultation du | 6. Na validering door dit laatste en raadpleging van het |
| Comité de Direction de l'Autorité, le Secrétariat général adopte par | Directiecomité van de Autoriteit, keurt het Algemeen secretariaat met |
| la présente décision la liste suivante : | onderhavige beslissing de volgende lijst goed: |
| 1) lorsque le traitement utilise des données biométriques(1) en vue de l'identification unique des personnes concernées se trouvant dans un lieu public ou dans un lieu privé accessible au public ; 2) lorsque des données à caractère personnel sont collectées auprès de tiers afin d'être prises ensuite en considération dans le cadre de la décision de refuser ou de cesser un contrat de service déterminé avec une personne physique ; 3) lorsque des données de santé d'une personne concernée sont collectées par voie automatisée à l'aide d'un dispositif médical implantable actif(2) ; | 1) wanneer de verwerking gebruik maakt van biometrische gegevens(1) met het oog op de unieke identificatie van betrokkenen die zich in een openbare ruimte bevinden of in privéruimten die toegankelijk zijn voor het publiek; 2) wanneer persoonsgegevens ingezameld worden bij derden om vervolgens in aanmerking te worden genomen bij de beslissing om een welbepaalde dienstverleningsovereenkomst met een natuurlijke persoon te weigeren of stop te zetten; 3) wanneer gezondheidsgegevens van een betrokkene op geautomatiseerde wijze worden ingezameld aan de hand van een actieve inplantbare medische voorziening(2); |
| 4) lorsque des données sont collectées à grande échelle auprès de | 4) wanneer er op grote schaal gegevens ingezameld worden bij derden |
| tiers afin d'analyser ou de prédire la situation économique, la santé, | teneinde de economische situatie, gezondheid, persoonlijke voorkeuren |
| les préférences ou centres d'intérêt personnels, la fiabilité ou le | of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen |
| comportement, la localisation ou les déplacements de personnes | van natuurlijke personen te analyseren of voorspellen; |
| physiques ; 5) lorsque des catégories particulières de données à caractère | 5) wanneer er op systematische wijze bijzondere categorieën van |
| personnel au sens de l'article 9 du RGPD(3) ou des données de nature | persoonsgegevens in de zin van artikel 9 van de AVG(3) of gegevens van |
| très personnelle (comme des données sur la pauvreté, le chômage, l'implication de l'aide à la jeunesse ou le travail social, des données sur les activités domestiques et privées, des données de localisation) sont échangées systématiquement entre plusieurs responsables du traitement ; 6) lorsqu'il est question d'un traitement à grande échelle de données générées au moyen d'appareils dotés de capteurs qui envoient des données via Internet ou via un autre moyen (applications de "l'Internet des objets", comme les télévisions intelligentes, les appareils ménagers intelligents, les jouets connectés, les « smart cities », les compteurs d'énergie intelligents, etc.) et que ce traitement sert à analyser ou prédire la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques ; 7) lorsqu'il est question d'un traitement à grande échelle et/ou systématique de données de téléphonie, d'Internet ou d'autres données de communication, de métadonnées ou de données de localisation de personnes physiques ou permettant de mener à des personnes physiques (par exemple le wifi-tracking ou le traitement de données de localisation de voyageurs dans les transports publics) lorsque le traitement n'est pas strictement nécessaire pour un service demandé par la personne concernée ; 8) lorsqu'il est question de traitements de données à caractère personnel à grande échelle où le comportement(4) de personnes physiques est observé, collecté, établi ou influencé, y compris à des fins publicitaires, et ce de manière systématique via un traitement automatisé. | zeer persoonlijke aard (zoals gegevens over armoede, werkloosheid, betrokkenheid van jeugdzorg of maatschappelijk werk, gegevens omtrent huishoudelijke en privé-activiteiten, locatiegegevens) systematisch worden uitgewisseld tussen meerdere verwerkingsverantwoordelijken; 6) wanneer er sprake is van een grootschalige verwerking van gegevens die gegeneerd worden door middel van toestellen met sensoren die via het internet of via een ander medium gegevens versturen (`internet of things'- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, enz.) en deze verwerking dient om de economische situatie, de gezondheid, de persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of te voorspellen; 7) wanneer er sprake is van een grootschalige en/of systematische verwerking van telefonie-, internet- of andere communicatiegegevens, metagegevens of locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld wifi-tracking of verwerking van locatiegegevens van reizigers in het openbaar vervoer) wanneer de verwerking niet strikt noodzakelijk is voor een door de betrokkene gevraagde dienst; 8) wanneer er sprake is van grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag(4) van natuurlijke personen geobserveerd, verzameld, vastgelegd of beïnvloed wordt, inclusief voor advertentiedoeleinden. |
| 7. Cette liste est annexée à la Recommandation 01/2018 et vient | 7. Deze lijst gaat als bijlage bij de Aanbeveling 01/2018 en vervangt |
| remplacer le projet de liste qui y était anciennement annexée. | de ontwerplijst die voorheen was bijgevoegd. |
| 8. Le responsable du traitement qui envisage un des types de | 8. De verwerkingsverantwoordelijke die een van de voormelde |
| traitements précités est obligé de réaliser une AIPD avant de procéder | verwerkingen overweegt is vanaf de inwerkingtreding van deze |
| au traitement à compter de l'entrée en vigueur de cette décision. | beslissing verplicht een GEB uit te voeren alvorens de verwerking aan |
| 9. Le Secrétariat général attire l'attention des responsables de | te vatten. 9. Het Algemeen secretariaat vestigt de aandacht van de |
| verwerkingsverantwoordelijken op het feit dat het ontbreken van een | |
| traitement sur le fait qu'un type d'opération de traitement ne se | type verwerkingsactiviteit in de bovenstaande lijst, niet uitsluit dat |
| retrouve pas parmi la liste ci-dessus n'exclut qu'une AIPD doive être | een GEB dient te worden uitgevoerd. Het gaat erom rekening te houden |
| réalisée. Il s'agit d'être attentif aux articles 35.1 et 35.3. | met de artikelen 35.1 en 35.3. |
| 10. Le Secrétariat Général attire encore l'attention sur le fait que | 10. Het Algemeen secretariaat vestigt er nog de aandacht op dat deze |
| cette liste est évolutive et peut être adaptée s'il s'avère qu'elles | lijsten evolutief zijn en aangepast kunnen worden wanneer blijkt dat |
| n'atteignent pas leur objectif. L'article 10 du ROI prévoit en effet que « cette liste est actualisée tous les six mois, en fonction notamment de l'évolution des nouvelles technologies ». 11. La présente décision sera publiée sur le site de l'APD et entrera en vigueur le 1er avril 2019. Le Directeur du Secrétariat Général, An Machtens, Administrateur f.f. Willem Debeuckelaere, Président _______ Notes (1) L'article 4(14) du RGPD définit les "données biométriques" comme étant les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. (2) Il s'agit de tout dispositif médical actif qui est conçu pour être implanté en totalité ou en partie dans le corps humain ou, dans un orifice naturel et qui est destiné à rester après l'intervention. (3) Les catégories spéciales de données incluent en particulier, conformément à l'article 9 du RGPD, les donnée à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuse ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle d'une personne physique. (4) Par exemple le comportement de visionnage, d'écoute, de | zij hun beoogde doel niet bereiken. Artikel 10 van het RIO bepaalt immers « Zesmaandelijks wordt de lijst desgevallend geactualiseerd, o.m. in functie van de evolutie van nieuwe technologieën ». 11. De huidige beslissing zal gepubliceerd worden op de website van de GBA en zal in werking treden op 1 april 2019. Directeur van het algemeen secretariaat, An Machtens, Wnd. administrateur Willem Debeuckelaere, Voorzitter ______ Nota's (1) Artikel 4(14) van de AVG definieert "biometrische gegevens" als persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens. (2) Het gaat om elke actieve medische voorziening die is ontworpen om geheel of gedeeltelijk te worden ingeplant in het menselijk lichaam of in een natuurlijke opening en bedoeld is om er te blijven na de interventie. (3) De bijzondere categorieën gegevens omvatten, overeenkomstig artikel 9 van de AVG, in het bijzonder persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, alsook de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over de gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. (4) Bijv. kijk-, luister-, surf-, klik-, fysiek-, of aankoopgedrag. |
| navigation, de clic, physique ou d'achat. |