ARTIKEL 35, STK. 3, I GDPR
Konsekvensanalyse vedrørende databeskyttelse
Virksomhederne skal foretage en konsekvensanalyse vedrørende databeskyttelse, hvis der er en høj risiko for registreredes rettigheder og frihedsrettigheder i forbindelse med behandlingen af deres personoplysninger.
En konsekvensanalyse vedrørende databeskyttelse er obligatorisk i nogle tilfælde
I nogle tilfælde er det obligatorisk for virksomhederne at udarbejde en konsekvensanalyse vedrørende databeskyttelse. Disse tilfælde er fastsat i databeskyttelsesforordningens artikel 35, stk. 3.
F.eks. når en virksomhed foretager en omfattende behandling af følsomme personoplysninger. Det samme gælder for automatiserede beslutningsprocesser, der omfatter profilering eller systematisk overvågning af et offentligt rum i stor skala.
Hvilket indhold bør en konsekvensanalyse vedrørende databeskyttelse omfatte?
Behandling
Konsekvensanalysen skal indeholde en beskrivelse af behandlingen af personoplysningerne. F.eks. kategorierne af personoplysninger såsom følsomme eller andre personoplysninger, der er følsomme over for privatlivets fred, omfanget af behandlingen, personoplysningernes livscyklus (fra indsamling til udtynding) osv.
Formål og retsgrundlag
Virksomhederne skal altid have et formål med behandlingen, der skal være klart og specifikt samt et gældende retsgrundlag. Konsekvensanalysen bør indeholde oplysninger om formålet og retsgrundlaget. Desuden er det nyttigt at analysere, om formålet er forholdsmæssigt.
Risikoanalyse
Konsekvensanalysen skal omfatte en risikoanalyse set fra de registreredes perspektiv. Med andre ord, hvad konsekvenserne af et eventuelt brud på persondatasikkerheden kan være for de registrerede. Bemærk, at den skal omfatte både sandsynligheden for, at der indtræffer hændelser, og alvoren af konsekvenserne.
Sikkerhedsforanstaltninger
Virksomhederne skal træffe passende sikkerhedsforanstaltninger, både tekniske og organisatoriske. For at minimere risiciene ved den behandling, som konsekvensanalysen vedrører, skal virksomheden derfor træffe passende sikkerhedsforanstaltninger, og de bør medtages i konsekvensanalysen.
Restrisiko
Selskabet skal analysere de resterende risici efter de sikkerhedsforanstaltninger, som selskabet har truffet.
Dokumentation
Vær opmærksom på at foretage en skriftlig konsekvensanalyse i stedet for mental eller mundtlig. I henhold til databeskyttelsesforordningen skal virksomheder kunne påvise overholdelse af databeskyttelsesforordningen i praksis i overensstemmelse med ansvarlighedsprincippet i databeskyttelsesforordningens artikel 5, stk. 2. Det betyder bl.a., at virksomheden skal føre skriftlige fortegnelser over sit arbejde med GDPR.
Opfølgning
Da GDPR er en levende proces, er det ikke altid nok blot at udarbejde dokumenter, men det kan være nødvendigt at ajourføre og følge op på dem. Det er nyttigt at analysere den behandling, der er omfattet af konsekvensanalysen, regelmæssigt, f.eks. en gang om året, for at se, om risiciene har ændret sig.
Hvis risikoen stadig er høj, anmoder virksomheden om en forudgående høring
Hvis risikoen for de registreredes rettigheder og frihedsrettigheder fortsat er høj efter en konsekvensanalyse foretaget af virksomheden, anmoder virksomheden om en forudgående høring af den nationale databeskyttelsesmyndighed.
Medarbejdernes rolle i gennemførelsen af en konsekvensanalyse vedrørende databeskyttelse
Det er ikke kun advokaten og/eller databeskyttelsesrådgiveren, der skal foretage konsekvensanalysen. Det er nyttigt også at medtage andre ansatte i virksomheden. F.eks. medarbejdere fra IT-afdelingen, der kan beskrive og forklare systemerne, og en leder, der beskriver arbejdsprocesserne og formålet. En klar rollefordeling og solid information fra alle relevante medarbejdere er mere tilbøjelig til at basere foranstaltningerne på et solidt grundlag.
Gentagelse eller ajourføring af en konsekvensanalyse vedrørende databeskyttelse
I nogle tilfælde skal virksomheden gentage eller ajourføre konsekvensanalysen. Selskaberne skal analysere risiciene for behandling, når der sker ændringer. Når virksomheden f.eks. begynder at anvende nye teknologiske løsninger, udvider målgruppen, nye praksisser eller ny lovgivning på området osv.
Husk at rådføre dig med databeskyttelsesrådgiveren
Hvis virksomheden har en databeskyttelsesrådgiver, som nogle virksomheder skal have i henhold til GDPR, bør databeskyttelsesrådgiveren høres, når virksomheden foretager en konsekvensanalyse. Dette krav er fastsat i databeskyttelsesforordningens artikel 35, stk. 2.
FLERE OPLYSNINGER
Konsekvensanalyse af dataoverførsler
Virksomhederne foretager en konsekvensanalyse af dataoverførsler (DTIA) forud for en overførsel af personoplysninger til et tredjeland uden et tilstrækkeligt beskyttelsesniveau. Et tredjeland er et land uden for EU/EØS, og kun Europa-Kommissionen kan beslutte, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Desuden skal virksomhederne foretage en konsekvensanalyse af dataoverførsler, hvis der er tale om en indirekte overførsel. Hvis virksomheden f.eks. anvender en cloud computing-tjeneste til behandling af personoplysninger, som igen opererer uden for EU/EØS.