Rina Steenkamp | My annotated GDPR | Additional information | Directive 95/46/EC

Chapter II General rules on the lawfulness of the processing of personal data

Section IX Notification

Article 20 Prior checking

Article 20(1)

1. Member States shall determine the processing operations likely to present specific risks to the rights and freedoms of data subjects and shall check that these processing operations are examined prior to the start thereof.

Article 20(2)

2. Such prior checks shall be carried out by the supervisory authority following receipt of a notification from the controller or by the data protection official, who, in cases of doubt, must consult the supervisory authority.

Article 20(3)

3. Member States may also carry out such checks in the context of preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which define the nature of the processing and lay down appropriate safeguards.

[Source: Directive 95/46/EC]

Cross-reference

Article 20(1)

Article 20(1) Directive 95/46/EC	Article 34(4) GDPR
1. Member States shall determine the processing operations likely to present specific risks to the rights and freedoms of data subjects and shall check that these processing operations are examined prior to the start thereof.	4. The European Data Protection Board shall establish and make public a list of the processing operations which are subject to prior consultation pursuant to paragraph 2.
	Artikel 31 lid 3 Wbp
1. De Lid-Staten geven aan welke verwerkingen mogelijk specifieke risico's voor de persoonlijke rechten en vrijheden inhouden [...]	3. Bij wet of algemene maatregel van bestuur kunnen andere gegevensverwerkingen die een bijzonder risico inhouden voor de persoonlijke rechten en vrijheden van de betrokkene worden aangewezen waarop het eerste lid van toepassing is. Het College geeft in zijn jaarverslag aan in hoeverre naar zijn oordeel een dergelijke aanwijzing wenselijk is.
	Artikel 31 lid 1 en 2 Wbp
[...] en dragen er zorg voor dat zij vóór de aanvang van de verwerking onderzocht worden.	1. Het College stelt voorafgaand aan een verwerking een onderzoek in indien de verantwoordelijke: a. een nummer ter identificatie van personen voornemens is te verwerken voor een ander doeleinde dan waarvoor het nummer specifiek bestemd is teneinde gegevens in verband te kunnen brengen met gegevens die worden verwerkt door een andere verantwoordelijke, tenzij het gebruik van het nummer geschiedt voor de gevallen als omschreven in artikel 24; b. voornemens is gegevens vast te leggen op grond van eigen waarneming zonder de betrokkene daarvan op de hoogte te stellen, of c. anders dan krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus voornemens is strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken ten behoeve van derden. 2. Het eerste lid, onder b, is niet van toepassing op openbare registers die bij de wet zijn ingesteld.

[Context: Article 34 GDPR, Artikel 31 Wbp]

Article 20(2)

Article 20(2) Directive 95/46/EC	Article 34(2) GDPR
2. Such prior checks shall be carried out by the supervisory authority following receipt of a notification from the controller or by the data protection official, who, in cases of doubt, must consult the supervisory authority.	2. The controller or processor acting on the controller's behalf shall consult the data protection officer, or in case a data protection officer has not been appointed, the supervisory authority prior to the processing of personal data in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where: (a) a data protection impact assessment as provided for in Article 33 indicates that processing operations are by virtue of their nature, their scope or their purposes, likely to present a high degree of specific risks; or (b) the data protection officer or the supervisory authority deems it necessary to carry out a prior consultation on processing operations that are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope and/or their purposes, and specified according to paragraph 4.
	Artikel 32 Wbp
2. Deze voorafgaande onderzoeken worden uitgevoerd door de toezichthoudende autoriteit na ontvangst van een aanmelding van de voor de verwerking verantwoordelijke, of door de functionaris voor de gegevensbescherming, die in twijfelgevallen de toezichthoudende autoriteit moet raadplegen.	1. Een gegevensverwerking waarop artikel 31, eerste lid, van toepassing is, wordt als zodanig door de verantwoordelijke bij het College gemeld. 2. De melding van een zodanige gegevensverwerking verplicht de verantwoordelijke de verwerking die hij voornemens is te verrichten, op te schorten totdat het onderzoek van het College is afgerond dan wel hij een bericht heeft ontvangen dat niet tot nader onderzoek wordt overgegaan. 3. In geval van een melding van een gegevensverwerking waarop artikel 31, eerste lid, van toepassing is, besluit het College schriftelijk binnen vier weken na de melding of het tot nader onderzoek overgaat. 4. In het besluit tot nader onderzoek over te gaan geeft het College aan binnen welke termijn het voornemens is dit onderzoek te verrichten. Deze termijn bedraagt niet langer dan twintig weken. 5. Het nader onderzoek, bedoeld in het vierde lid, leidt tot een verklaring omtrent de rechtmatigheid van de gegevensverwerking. 6. De verklaring van het College geldt als een besluit in de zin van de Algemene wet bestuursrecht. Op de voorbereiding ervan is afdeling 3.4 van die wet van toepassing.

Article 20(2) Directive 95/46/EC

Article 34(2) GDPR

2. The controller or processor acting on the controller's behalf shall consult the data protection officer, or in case a data protection officer has not been appointed, the supervisory authority prior to the processing of personal data in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where:

(a) a data protection impact assessment as provided for in Article 33 indicates that processing operations are by virtue of their nature, their scope or their purposes, likely to present a high degree of specific risks; or
(b) the data protection officer or the supervisory authority deems it necessary to carry out a prior consultation on processing operations that are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope and/or their purposes, and specified according to paragraph 4.

Artikel 32 Wbp

2. Deze voorafgaande onderzoeken worden uitgevoerd door de toezichthoudende autoriteit na ontvangst van een aanmelding van de voor de verwerking verantwoordelijke, of door de functionaris voor de gegevensbescherming, die in twijfelgevallen de toezichthoudende autoriteit moet raadplegen.

1. Een gegevensverwerking waarop artikel 31, eerste lid, van toepassing is, wordt als zodanig door de verantwoordelijke bij het College gemeld.

2. De melding van een zodanige gegevensverwerking verplicht de verantwoordelijke de verwerking die hij voornemens is te verrichten, op te schorten totdat het onderzoek van het College is afgerond dan wel hij een bericht heeft ontvangen dat niet tot nader onderzoek wordt overgegaan.

3. In geval van een melding van een gegevensverwerking waarop artikel 31, eerste lid, van toepassing is, besluit het College schriftelijk binnen vier weken na de melding of het tot nader onderzoek overgaat.

4. In het besluit tot nader onderzoek over te gaan geeft het College aan binnen welke termijn het voornemens is dit onderzoek te verrichten. Deze termijn bedraagt niet langer dan twintig weken.

5. Het nader onderzoek, bedoeld in het vierde lid, leidt tot een verklaring omtrent de rechtmatigheid van de gegevensverwerking.

6. De verklaring van het College geldt als een besluit in de zin van de Algemene wet bestuursrecht. Op de voorbereiding ervan is afdeling 3.4 van die wet van toepassing.

[Context: Article 34 GDPR, Artikel 32 Wbp]

Article 20(3)

Article 20(3) Directive 95/46/EC	Article 34(7) GDPR
3. Member States may also carry out such checks in the context of preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which define the nature of the processing and lay down appropriate safeguards.	7. Member States shall consult the supervisory authority in the preparation of a legislative measure to be adopted by the national parliament or of a measure based on such a legislative measure, which defines the nature of the processing, in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects.

[Context: Article 34 GDPR]

My annotated General Data Protection Regulation

[Article 20]

Chapter II General rules on the lawfulness of the processing of personal data

Section IX Notification

Article 20 Prior checking

Article 20(1)

Article 20(2)

Article 20(3)

Cross-reference

Article 20(1)

Article 20(2)

Article 20(3)