Hvornår er en konsekvensanalyse vedrørende databeskyttelse påkrævet?

Svar

Der kræves en konsekvensanalyse vedrørende databeskyttelse, når behandlingen sandsynligvis vil medføre en høj risiko for enkeltpersonernes rettigheder og frihedsrettigheder. Der kræves en konsekvensanalyse vedrørende databeskyttelse i mindst følgende tre tilfælde:

• en systematisk og omfattende vurdering af personlige forhold vedrørende enkeltpersoner, herunder automatisk genererede personprofiler
• behandling af følsomme oplysninger i stort omfang
• systematisk overvågning af offentligt tilgængelige områder i stort omfang.

De nationale databeskyttelsesmyndigheder kan sammen med Det Europæiske Databeskyttelsesråd udlevere lister over tilfælde, hvor der kræves en konsekvensanalyse vedrørende databeskyttelse. Konsekvensanalysen vedrørende databeskyttelse skal gennemføres inden behandlingen, og den skal anses for at være et redskab i udvikling og ikke blot en engangsforeteelse. Hvis der er tilbageværende risici, som ikke kan imødegås af de iværksatte foranstaltninger, skal databeskyttelsesmyndigheden høres, inden behandlingen påbegyndes.

Eksempler

Der kræves en konsekvensanalyse vedrørende databeskyttelse
En bank screener sine kunder i forhold til en kreditreferencedatabase, et hospital skal til at implementere en ny sundhedsoplysningsdatabase med patienters helbredsoplysninger, et busselskab skal til at implementere overvågningskameraer i busserne for at overvåge chaufførernes og passagerernes adfærd.

Der kræves ikke en konsekvensanalyse vedrørende databeskyttelse
En praktiserende læge behandler sine patienters personoplysninger. I dette tilfælde er der ikke behov for en konsekvensanalyse vedrørende databeskyttelse, da behandling hos praktiserende læger ikke foretages i stort omfang, når antallet af patienter er begrænset.

Referencer

• Det Europæiske Databeskyttelsesråds retningslinjer om konsekvensanalyser vedrørende databeskyttelse
• Artikel 35, 36; betragtning 89, 90, 91, 92, 93, 94, 95, 96

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.

• EDPB Guidelines on Data Protection Impact Assessment (DPIA)
• Articles 35 and 36 and Recitals (89) to (96) of the GDPR