← Terug naar "Beslissing van het Algemeen secretariaat nr. 1/2019 van 16 januari 2019 Betreft: Aaname van
de lijst met verwerkingen waarvoor een Gegevensbeschermingseffectbeoordeling dient te worden uitgevoerd
conform artikel 35.4 van de Algemene Verordening Het Algemeen
secretariaat van de Gegevensbeschermingsautoriteit (hierna "het Algemeen secretar(...)"
| Beslissing van het Algemeen secretariaat nr. 1/2019 van 16 januari 2019 Betreft: Aaname van de lijst met verwerkingen waarvoor een Gegevensbeschermingseffectbeoordeling dient te worden uitgevoerd conform artikel 35.4 van de Algemene Verordening Het Algemeen secretariaat van de Gegevensbeschermingsautoriteit (hierna "het Algemeen secretar(...) | Décision du Secrétariat Général n° 1/2019 du 16 janvier 2019 Objet : Adoption de la liste des catégories de traitement devant faire l'objet d'une analyse d'impact relative à la protection des données conformément à l'article 35.4 du Règlement Gé Le Secrétariat Général de l'Autorité de protection des données (ci-après « le Secrétariat Général »(...) |
|---|---|
| COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER Beslissing van het Algemeen secretariaat nr. 1/2019 van 16 januari 2019 Betreft: Aaname van de lijst met verwerkingen waarvoor een Gegevensbeschermingseffectbeoordeling dient te worden uitgevoerd conform artikel 35.4 van de Algemene Verordening Gegevensbescherming (CO-A-2018-001) Het Algemeen secretariaat van de Gegevensbeschermingsautoriteit (hierna "het Algemeen secretariaat"); Gelet op de Verordening (EU) 2016/679 van het Europees Parlement en de | COMMISSION DE LA PROTECTION DE LA VIE PRIVEE Décision du Secrétariat Général n° 1/2019 du 16 janvier 2019 Objet : Adoption de la liste des catégories de traitement devant faire l'objet d'une analyse d'impact relative à la protection des données conformément à l'article 35.4 du Règlement Général sur la Protection des données (CO-A-2018-001) Le Secrétariat Général de l'Autorité de protection des données (ci-après « le Secrétariat Général »); Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du |
| Raad van 27 april 2016 betreffende de bescherming van natuurlijke | 27 avril 2016 relatif à la protection des personnes physiques à |
| personen in verband met de verwerking van persoonsgegevens en | l'égard du traitement des données à caractère personnel et à la libre |
| betreffende het vrije verkeer van die gegevens en tot intrekking van | circulation de ces données, et abrogeant la directive 95/46/CE, en |
| Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (hierna | particulier ses articles 35.1, 35.4 et 64 (ci-après « RGPD »); |
| AVG), inzonderheid artikelen 35.1 en 64; | |
| Gelet op de wet van 3 december 2017 tot oprichting van de | Vu la loi du 3 décembre 2017 relative à la loi portant création de |
| Gegevensbeschermingsautoriteit, inzonderheid op artikel 20, § 1, 2° | l'Autorité de protection des données, en particulier l'article 20, § 1er, |
| (hierna de "WOG"); | 2° (ci-après « LCA »); |
| Wet van 30 juli 2018 betreffende de bescherming van natuurlijke | Vu la loi du 30 juillet 2018 relative à la protection des personnes |
| personen met betrekking tot de verwerking van persoonsgegevens, | physiques à l'égard des traitements de données à caractère personnel, |
| inzonderheid de artikelen 58 en 59 (hierna "WVG"); | en particulier ses articles 58 et 59 (ci-après « LTD »); |
| Gelet op het Reglement van interne orde van de | Vu le Règlement d'ordre intérieur de l'Autorité de Protection des |
| Gegevensbeschermingsautoriteit, en in het bijzonder artikel 10 (hierna « RIO ») ; | données, en particulier son article 10 (ci-après « ROI ») ; |
| Gelet op het advies 2/2018 van 25 september 2018 van het Europees | Vu l'avis 2/2018 du 25 septembre 2018 du Comité Européen de la |
| Comité voor Gegevensbescherming over de lijst van de Belgische | Protection des données relatif au projet de liste de l'Autorité de |
| Gegevensbeschermingsautoriteit betreffende de categorieën verwerkingen | Protection des données belge concernant les catégories de traitement |
| waarvoor een gegevensbeschermingseffectbeoordeling dient te worden | devant faire l'objet d'une analyse d'impact relative à la protection |
| uitgevoerd overeenkomstig artikel 35.4 van de Algemene Verordening | des données conformément à l'article 35.4 du Règlement Général sur la |
| Gegevensbescherming (hierna "het advies" en "het Comité"); | Protection des données (ci-après « l'avis » et « le Comité »); |
| Gelet op de richtsnoeren van de Groep Gegevensbescherming Artikel 29 | Vu les lignes directrices concernant l'analyse d'impact relative à la |
| van 4 oktober 2017 over de Gegevensbeschermingseffectbeoordeling | protection des données du 4 octobre 2017 du Groupe de protection des |
| (hierna: "Richtsnoeren GEB" en "Groep 29"); | |
| Gelet op de aanbeveling uit eigen beweging van de Commissie nr. | données Article 29, (ci-après : "Lignes directrices AIPD" et « Groupe 29 ») ; |
| 01/2018 van 28 februari 2018 met betrekking tot de | Vu la Recommandation d'initiative 01/2018 du 28 février 2018 |
| gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging | concernant l'analyse d'impact relative à la protection des données et |
| Gelet op het verslag van Willem Debeuckelaere; | la consultation préalable ; Vu le rapport de Debeuckelaere Willem; |
| Beslist op 16 januari 2019 als volgt: | Emet, le 16 janvier 2019, la décision suivante : |
| 1. Overeenkomstig artikel 35.4 van de AVG dient elke | 1. Conformément à l'article 35.4 du RGPD, chaque Autorité nationale de |
| Gegevensbeschermingsautoriteit een lijst op te stellen en te | Protection des données est tenue d'établir et de publier une liste des |
| publiceren met de verwerkingsactiviteiten waarvoor een | types d'opérations de traitement pour lesquelles une analyse d'impact |
| gegevensbeschermingseffectbeoordeling is vereist. Alvorens deze lijst | relative à la protection des données est requise. Avant la publication |
| te publiceren dient de Autoriteit deze voor te leggen aan het Comité | de cette liste, l'Autorité est tenue de communiquer cette liste au |
| opdat dit een advies zou kunnen uitbrengen. | Comité afin qu'il puisse rendre un avis. |
| 2. In afwachting van de oprichting van de Autoriteit heeft de | 2. Dans l'attente de la mise en place de l'Autorité, la Commission de |
| Commissie voor het opstellen van de persoonlijke levenssfeer een | la Protection de la Vie Privée a souhaité adopter une Recommandation |
| aanbeveling goedgekeurd over de GEB. Hiertoe heeft zij voorafgaand een | relative aux AIPD. Elle a pour ce faire procédé en amont à une |
| openbare raadpleging gehouden door een eerste ontwerpaanbeveling in te | consultation publique en soumettant un premier projet de |
| dienen die opnieuw werd herwerkt, rekening houdend met de verkregen | recommandation qu'elle a remanié en tenant compte des retours obtenus |
| feedback en met artikel 35 en de richtsnoeren van de Groep 29. | ainsi que de l'article 35 et des Lignes Directrices du Groupe 29. |
| C'est ainsi qu'elle a pu adopter sa recommandation 01/2018 en date du | |
| Zodoende kon zij op 28 februari 2018 haar aanbeveling 01/2018 | 28 février 2018 à laquelle était notamment annexé un projet de liste |
| goedkeuren waarbij onder meer een ontwerplijst was gevoegd met | |
| verwerkingsactiviteiten die de verplichte uitvoering van een GEB | des opérations de traitements impliquant obligatoirement la |
| impliceren. | réalisation d'une AIPD. |
| 3. De Autoriteit heeft dit ontwerp vervolgens geratificeerd teneinde | 3. L'Autorité a ensuite ratifié ce projet afin de le soumettre à |
| het voor advies voor te leggen aan het Comité, conform de procedure van artikel 64 van de AVG. | l'avis du Comité conformément à la procédure de l'article 64 du RGPD. |
| 4. Op 25 september 2018 heeft het Comité een advies uitgebracht dat | 4. En date du 25 septembre 2018, le Comité a rendu un avis impliquant |
| wijzigingen impliceert aan de ontwerplijst die door de Commissie werd | des modifications au projet de liste adoptée par la Commission et |
| goedgekeurd en vervolgens door de Autoriteit geratificeerd. | ensuite ratifié par l'Autorité. |
| 5. Het Algemeen secretariaat, overeenkomstig artikel 20, § 1, 2° van | 5. Le Secrétariat général, chargé d'adopter la liste relative aux AIPD |
| de WOG belast met het opstellen van de lijst betreffende de GEB, heeft | conformément à l'article 20, § 1er, 2° de la LCA, a ainsi tenu compte |
| aldus rekening gehouden met de door het Comité in zijn advies | des remarques et observations faites par le Comité dans son avis ainsi |
| geformuleerde opmerkingen en bedenkingen, alsook met de door de Groep | |
| 29 in zijn richtsnoeren weerhouden criteria en legde een aangepaste | que des critères retenus par le Groupe 29 dans ses Lignes Directrices |
| ontwerplijst voor aan het Comité. | et a soumis un projet de liste adapté au Comité. |
| 6. Na validering door dit laatste en raadpleging van het | 6. Après validation du projet par ce dernier, et consultation du |
| Directiecomité van de Autoriteit, keurt het Algemeen secretariaat met | Comité de Direction de l'Autorité, le Secrétariat général adopte par |
| onderhavige beslissing de volgende lijst goed: | la présente décision la liste suivante : |
| 1) wanneer de verwerking gebruik maakt van biometrische gegevens(1) met het oog op de unieke identificatie van betrokkenen die zich in een openbare ruimte bevinden of in privéruimten die toegankelijk zijn voor het publiek; 2) wanneer persoonsgegevens ingezameld worden bij derden om vervolgens in aanmerking te worden genomen bij de beslissing om een welbepaalde dienstverleningsovereenkomst met een natuurlijke persoon te weigeren of stop te zetten; 3) wanneer gezondheidsgegevens van een betrokkene op geautomatiseerde wijze worden ingezameld aan de hand van een actieve inplantbare medische voorziening(2); | 1) lorsque le traitement utilise des données biométriques(1) en vue de l'identification unique des personnes concernées se trouvant dans un lieu public ou dans un lieu privé accessible au public ; 2) lorsque des données à caractère personnel sont collectées auprès de tiers afin d'être prises ensuite en considération dans le cadre de la décision de refuser ou de cesser un contrat de service déterminé avec une personne physique ; 3) lorsque des données de santé d'une personne concernée sont collectées par voie automatisée à l'aide d'un dispositif médical implantable actif(2) ; |
| 4) wanneer er op grote schaal gegevens ingezameld worden bij derden | 4) lorsque des données sont collectées à grande échelle auprès de |
| teneinde de economische situatie, gezondheid, persoonlijke voorkeuren | tiers afin d'analyser ou de prédire la situation économique, la santé, |
| of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen | les préférences ou centres d'intérêt personnels, la fiabilité ou le |
| van natuurlijke personen te analyseren of voorspellen; | comportement, la localisation ou les déplacements de personnes |
| 5) wanneer er op systematische wijze bijzondere categorieën van | physiques ; 5) lorsque des catégories particulières de données à caractère |
| persoonsgegevens in de zin van artikel 9 van de AVG(3) of gegevens van | personnel au sens de l'article 9 du RGPD(3) ou des données de nature |
| zeer persoonlijke aard (zoals gegevens over armoede, werkloosheid, betrokkenheid van jeugdzorg of maatschappelijk werk, gegevens omtrent huishoudelijke en privé-activiteiten, locatiegegevens) systematisch worden uitgewisseld tussen meerdere verwerkingsverantwoordelijken; 6) wanneer er sprake is van een grootschalige verwerking van gegevens die gegeneerd worden door middel van toestellen met sensoren die via het internet of via een ander medium gegevens versturen (`internet of things'- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, enz.) en deze verwerking dient om de economische situatie, de gezondheid, de persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of te voorspellen; 7) wanneer er sprake is van een grootschalige en/of systematische verwerking van telefonie-, internet- of andere communicatiegegevens, metagegevens of locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld wifi-tracking of verwerking van locatiegegevens van reizigers in het openbaar vervoer) wanneer de verwerking niet strikt noodzakelijk is voor een door de betrokkene gevraagde dienst; 8) wanneer er sprake is van grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag(4) van natuurlijke personen geobserveerd, verzameld, vastgelegd of beïnvloed wordt, inclusief voor advertentiedoeleinden. | très personnelle (comme des données sur la pauvreté, le chômage, l'implication de l'aide à la jeunesse ou le travail social, des données sur les activités domestiques et privées, des données de localisation) sont échangées systématiquement entre plusieurs responsables du traitement ; 6) lorsqu'il est question d'un traitement à grande échelle de données générées au moyen d'appareils dotés de capteurs qui envoient des données via Internet ou via un autre moyen (applications de "l'Internet des objets", comme les télévisions intelligentes, les appareils ménagers intelligents, les jouets connectés, les « smart cities », les compteurs d'énergie intelligents, etc.) et que ce traitement sert à analyser ou prédire la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques ; 7) lorsqu'il est question d'un traitement à grande échelle et/ou systématique de données de téléphonie, d'Internet ou d'autres données de communication, de métadonnées ou de données de localisation de personnes physiques ou permettant de mener à des personnes physiques (par exemple le wifi-tracking ou le traitement de données de localisation de voyageurs dans les transports publics) lorsque le traitement n'est pas strictement nécessaire pour un service demandé par la personne concernée ; 8) lorsqu'il est question de traitements de données à caractère personnel à grande échelle où le comportement(4) de personnes physiques est observé, collecté, établi ou influencé, y compris à des fins publicitaires, et ce de manière systématique via un traitement automatisé. |
| 7. Deze lijst gaat als bijlage bij de Aanbeveling 01/2018 en vervangt | 7. Cette liste est annexée à la Recommandation 01/2018 et vient |
| de ontwerplijst die voorheen was bijgevoegd. | remplacer le projet de liste qui y était anciennement annexée. |
| 8. De verwerkingsverantwoordelijke die een van de voormelde | 8. Le responsable du traitement qui envisage un des types de |
| verwerkingen overweegt is vanaf de inwerkingtreding van deze | traitements précités est obligé de réaliser une AIPD avant de procéder |
| beslissing verplicht een GEB uit te voeren alvorens de verwerking aan | au traitement à compter de l'entrée en vigueur de cette décision. |
| te vatten. 9. Het Algemeen secretariaat vestigt de aandacht van de | 9. Le Secrétariat général attire l'attention des responsables de |
| verwerkingsverantwoordelijken op het feit dat het ontbreken van een | |
| type verwerkingsactiviteit in de bovenstaande lijst, niet uitsluit dat | traitement sur le fait qu'un type d'opération de traitement ne se |
| een GEB dient te worden uitgevoerd. Het gaat erom rekening te houden | retrouve pas parmi la liste ci-dessus n'exclut qu'une AIPD doive être |
| met de artikelen 35.1 en 35.3. | réalisée. Il s'agit d'être attentif aux articles 35.1 et 35.3. |
| 10. Het Algemeen secretariaat vestigt er nog de aandacht op dat deze | 10. Le Secrétariat Général attire encore l'attention sur le fait que |
| lijsten evolutief zijn en aangepast kunnen worden wanneer blijkt dat | cette liste est évolutive et peut être adaptée s'il s'avère qu'elles |
| zij hun beoogde doel niet bereiken. Artikel 10 van het RIO bepaalt immers « Zesmaandelijks wordt de lijst desgevallend geactualiseerd, o.m. in functie van de evolutie van nieuwe technologieën ». 11. De huidige beslissing zal gepubliceerd worden op de website van de GBA en zal in werking treden op 1 april 2019. Directeur van het algemeen secretariaat, An Machtens, Wnd. administrateur Willem Debeuckelaere, Voorzitter ______ Nota's (1) Artikel 4(14) van de AVG definieert "biometrische gegevens" als persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens. (2) Het gaat om elke actieve medische voorziening die is ontworpen om geheel of gedeeltelijk te worden ingeplant in het menselijk lichaam of in een natuurlijke opening en bedoeld is om er te blijven na de interventie. (3) De bijzondere categorieën gegevens omvatten, overeenkomstig artikel 9 van de AVG, in het bijzonder persoonsgegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, alsook de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over de gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. (4) Bijv. kijk-, luister-, surf-, klik-, fysiek-, of aankoopgedrag. | n'atteignent pas leur objectif. L'article 10 du ROI prévoit en effet que « cette liste est actualisée tous les six mois, en fonction notamment de l'évolution des nouvelles technologies ». 11. La présente décision sera publiée sur le site de l'APD et entrera en vigueur le 1er avril 2019. Le Directeur du Secrétariat Général, An Machtens, Administrateur f.f. Willem Debeuckelaere, Président _______ Notes (1) L'article 4(14) du RGPD définit les "données biométriques" comme étant les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. (2) Il s'agit de tout dispositif médical actif qui est conçu pour être implanté en totalité ou en partie dans le corps humain ou, dans un orifice naturel et qui est destiné à rester après l'intervention. (3) Les catégories spéciales de données incluent en particulier, conformément à l'article 9 du RGPD, les donnée à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuse ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle d'une personne physique. (4) Par exemple le comportement de visionnage, d'écoute, de |
| navigation, de clic, physique ou d'achat. |