Wie moet een PIA uitvoeren?
Een organisatie is eindverantwoordelijk voor een uitvoering van een privacy impact assessment (PIA). Hierbij kan een derde worden ingeschakeld. Als er in de organisatie een functionaris voor de gegevensbescherming (FG) aanwezig is, kan deze om advies worden gevraagd. In het rapport over de PIA moet het advies van de FG worden opgenomen, evenals uw (re)actie daarop. De FG heeft ook als taak de uitvoering van de PIA in de gaten te houden.
Voert een bewerker (in de AVG 'verwerker' genoemd) in opdracht van van een organisatie de gegevensverwerking uit, dan moet deze ondersteunen bij het uitvoeren van de PIA en de informatie verstrekken die nodig is.
Als het nodig is moet de betrokkenen (de mensen van wie u gegevens wil verwerken) of hun vertegenwoordigers om hun mening worden gevraagd, via een in- of extern onderzoek of vragenlijst. Wijkt de uiteindelijke beslissing van de organisatie af van de mening van de betrokkenen, dan moeten de redenen om al dan niet met de verwerking worden gedocumenteerd. Dit geldt ook voor de argumentatie als de organisatie oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.
Voert een bewerker (in de AVG 'verwerker' genoemd) in opdracht van van een organisatie de gegevensverwerking uit, dan moet deze ondersteunen bij het uitvoeren van de PIA en de informatie verstrekken die nodig is.
Als het nodig is moet de betrokkenen (de mensen van wie u gegevens wil verwerken) of hun vertegenwoordigers om hun mening worden gevraagd, via een in- of extern onderzoek of vragenlijst. Wijkt de uiteindelijke beslissing van de organisatie af van de mening van de betrokkenen, dan moeten de redenen om al dan niet met de verwerking worden gedocumenteerd. Dit geldt ook voor de argumentatie als de organisatie oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.
Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.