GDPR - Vurderinger

Forskellige typer vurderinger

Der er flere forskellige typer vurderinger, som virksomheder kan være nødt til at foretage, før de behandler personoplysninger i overensstemmelse med GDPR. F.eks. konsekvensanalyser eller interesseafvejninger.

Forbehandling af konsekvensanalyser

Hvis en behandling af personoplysninger kan medføre høje risici for registreredes rettigheder og frihedsrettigheder, skal virksomheden foretage en konsekvensanalyse, inden behandlingen finder sted.

Dette fremgår af databeskyttelsesforordningens artikel 35. Hvis virksomheden ikke foretager en konsekvensanalyse, når det er nødvendigt, kan det føre til konsekvenser, i værste fald en bøde.

Formålet med en konsekvensanalyse

Formålet med at foretage en konsekvensanalyse er at undersøge, om behandlingen er tilladt i henhold til GDPR, og hvordan virksomheden bør forebygge de risici, som behandlingen udgør for de registrerede.

Hvad bør indgå i en konsekvensanalyse?

Beskrivelse

Den skal indeholde en systematisk beskrivelse af behandlingen af personoplysningerne. Det samme gælder for formålet med behandlingen.

Andel

Virksomheden skal vurdere, om behandlingen af personoplysninger står i et rimeligt forhold til formålet med behandlingen.

Risici for registrerede

De risici, som behandlingen kan udgøre for registreredes rettigheder og frihedsrettigheder.

Foranstaltninger til minimering af risici

De foranstaltninger, som virksomheden har planlagt at træffe for at minimere risiciene.

Hvis virksomheden har en databeskyttelsesrådgiver

Nogle virksomheder skal udpege en databeskyttelsesansvarlig. Virksomheder, der har en databeskyttelsesrådgiver, skal altid høre databeskyttelsesrådgiveren, når de foretager en konsekvensanalyse.

Eksempler på forskellige typer konsekvensanalyser, som virksomhederne kan være nødt til at foretage

Risikovurdering før nye behandlinger

Virksomhederne skal foretage en risikovurdering, inden de påbegynder nye behandlinger. Det samme gælder, når de introducerer nye teknologier eller systemer til eksisterende behandlinger. Vurderingen skal fastslå de risici og konsekvenser, som behandlingen kan medføre for de registrerede. Desuden skal analysen og vurderingen omfatte de sikkerhedsforanstaltninger, som selskabet skal træffe for at minimere risiciene.

Konsekvensanalyse vedrørende databeskyttelse (DPIA)

Hvis behandlingen af personoplysninger udgør en høj risiko for registreredes rettigheder og frihedsrettigheder, skal virksomheden foretage og dokumentere en konsekvensanalyse vedrørende databeskyttelse. I så fald skal virksomheden vurdere risiciene og sikkerhedsforanstaltningerne for at minimere risiciene ved behandlingen. Det er særlig vigtigt at foretage en konsekvensanalyse vedrørende databeskyttelse, når virksomheden skal anvende nye teknologier eller behandle følsomme eller andre personoplysninger, der er følsomme over for privatlivets fred, i stor skala.

Konsekvensanalyse af dataoverførsel (DTIA)

Når en virksomhed inden for EU overfører personoplysninger til et land uden for EU/EØS, dvs. et tredjeland i henhold til GDPR, gælder der strengere regler. Hvis det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau i henhold til Europa-Kommissionens afgørelse, behøver virksomheden ikke at træffe yderligere sikkerhedsforanstaltninger for dataoverførslen. Virksomheden skal dog træffe yderligere sikkerhedsforanstaltninger, hvis det pågældende tredjeland ikke har et tilstrækkeligt beskyttelsesniveau i henhold til Europa-Kommissionen. Virksomheden skal bl.a. foretage en konsekvensanalyse af dataoverførsler, hvis den har til hensigt at anvende en cloudtjeneste til datalagring fra en cloudtjenesteudbyder i et tredjeland.

Anmod om forudgående høring af den nationale databeskyttelsesmyndighed

Hvis risikoen for fysiske personers rettigheder og frihedsrettigheder fortsat er høj, efter at virksomheden har foretaget en konsekvensanalyse, bør virksomheden anmode om en forudgående høring af den nationale databeskyttelsesmyndighed. Dette kan føre til, at databeskyttelsesmyndigheden beslutter, at der er tale om en tilladt behandling, og hvilke dele af behandlingen der bør ændres, for at den kan tillades eller forbydes. Bemærk venligst, at virksomheder skal foretage og dokumentere en fuldstændig konsekvensanalyse, inden de anmoder om en forudgående høring i henhold til artikel 36 i GDPR.

Afvejning af interesser for at vurdere legitim interesse

Legitim interesse er et af de seks (6) retsgrundlag, hvorpå virksomheder kan støtte en behandling i henhold til artikel 6, stk. 1, litra f), i GDPR. For at afgøre, om selskabet har en legitim interesse, skal selskabet foretage og dokumentere en interesseafvejning. Det betyder, at virksomheden sætter sine interesser op imod de registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder. Myndighederne kan ikke anvende legitime interesser som retsgrundlag.

Hvornår kan virksomheder have en legitim interesse i at behandle personoplysninger?

Her er nogle eksempler på, hvornår en virksomhed kan have en legitim interesse i at behandle personoplysninger:

Mere info om foranstaltninger i henhold til GDPR

Informationssikkerhed

Virksomhederne skal beskytte de behandlede personoplysninger ved at træffe passende organisatoriske og tekniske sikkerhedsforanstaltninger. For eksempel har backup-filer på en cloud-tjeneste, installeret antivirus-software, tilbyder GDPR uddannelse til personale, etablere nødvendige GDPR-relaterede aftaler og dokumenter mv Udgangspunktet er, at jo vigtigere de personlige data, jo strengere krav.