Navigatie
AVG (GDPR) > Overweging 94
Download PDF

Overweging 94

Recital 94

(94) Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn, dient de toezichthoudende autoriteit voordat met de verwerking wordt begonnen te worden geraadpleegd.

Een dermate hoog risico doet zich wellicht voor bij bepaalde soorten persoonsgegevensverwerking en de omvang en frequentie van de verwerking, hetgeen kan leiden tot schade of aantasting van de rechten en vrijheden van natuurlijke personen.

De toezichthoudende autoriteit dient binnen een nader bepaalde termijn op het verzoek om raadpleging te reageren.

Het uitblijven van een reactie van de toezichthoudende autoriteit binnen die termijn dient evenwel een optreden van de toezichthoudende autoriteit overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden.

Als onderdeel van die raadplegingsprocedure kan het resultaat van een gegevensbeschermingseffectbeoordeling die voor de verwerking in kwestie wordt uitgevoerd, aan de toezichthoudende autoriteit worden voorgelegd, meer bepaald wat betreft de voorgenomen maatregelen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken.

(94) Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities.

Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which may result also in a realisation of damage or interference with the rights and freedoms of the natural person.

The supervisory authority should respond to the request for consultation within a specified period.

However, the absence of a reaction of the supervisory authority within that period should be without prejudice to any intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation, including the power to prohibit processing operations.

As part of that consultation process, the outcome of a data protection impact assessment carried out with regard to the processing at issue may be submitted to the supervisory authority, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons.