GDPR › GDPR dokumentation og compliance

Konsekvensanalyse (DPIA)

En konsekvensanalyse er en systematisk vurdering af risikoen ved en planlagt databehandling. GDPR kræver den, når behandlingen sandsynligvis medfører høj risiko for de registreredes rettigheder og friheder. Formålet er at identificere risici og finde foranstaltninger, der reducerer dem.

Tilbage til ordbog

Hvad er en konsekvensanalyse?

En konsekvensanalyse (DPIA, Data Protection Impact Assessment) er beskrevet i GDPR artikel 35. Det er en proces, hvor du systematisk vurderer, hvordan en planlagt databehandling påvirker de personer, hvis persondata du behandler.

Det er ikke bare en formalitet. En god DPIA hjælper dig med at opdage problemer, før de opstår, og med at designe din behandling, så den respekterer de registreredes rettigheder fra starten (Privacy by Design).

Hvornår er en DPIA påkrævet?

GDPR kræver en DPIA, når en behandling sandsynligvis medfører 'høj risiko' for de registrerede. Artikel 35 nævner tre eksempler:

Systematisk og omfattende profilering: Automatiseret behandling herunder profilering med retlige eller tilsvarende væsentlige virkninger for enkeltpersoner.
Storskala behandling af følsomme data: Behandling af særlige kategorier af data eller data om strafbare forhold i stor skala.
Systematisk overvågning: Systematisk overvågning af offentligt tilgængelige områder i stor skala, f.eks. videoovervågning.

Datatilsynet har også udgivet en liste over behandlingstyper, der altid kræver en DPIA. Brug den som tjekliste for dine egne behandlinger.

Er du i tvivl? Lav DPIA'en alligevel. Det er god praksis, og det viser Datatilsynet, at du tager databeskyttelse alvorligt. Der er ingen straf for at lave en DPIA, du ikke var forpligtet til.

Hvad skal en DPIA indeholde?

GDPR artikel 35, stk. 7 kræver som minimum:

En systematisk beskrivelse af behandlingen og dens formål
En vurdering af behandlingens nødvendighed og proportionalitet
En vurdering af risiciene for de registreredes rettigheder og friheder
De foranstaltninger, der skal håndtere risiciene

Hvem er involveret?

Den dataansvarlige bærer ansvaret. Hvis din virksomhed har en DPO, skal denne rådspørges. Det er også god praksis at inddrage IT, jura og de forretningsområder, der ejer behandlingen.

Ofte stillede spørgsmål om konsekvensanalyse (dpia)

Hvad er en konsekvensanalyse (DPIA)?

En konsekvensanalyse er en systematisk vurdering af, hvordan en planlagt databehandling påvirker de registreredes rettigheder og friheder. Det er et krav i GDPR artikel 35, når behandlingen medfører høj risiko.

Hvornår er en DPIA påkrævet?

Når en behandling sandsynligvis medfører høj risiko for de registrerede. Det gælder f.eks. ved systematisk og omfattende profilering, storskala behandling af følsomme data eller systematisk overvågning af offentligt tilgængelige områder.

Hvem er ansvarlig for at lave en DPIA?

Den dataansvarlige er ansvarlig. Hvis virksomheden har en DPO, skal denne inddrages i processen. Selve arbejdet kan uddelegeres, men ansvaret forbliver hos den dataansvarlige.

Hvad skal en DPIA indeholde?

Som minimum skal en DPIA indeholde en systematisk beskrivelse af behandlingen og dens formål, en vurdering af nødvendighed og proportionalitet, en vurdering af risici for de registrerede og de foranstaltninger, der skal håndtere disse risici.

Kan man lave en DPIA, selvom man ikke er juridisk forpligtet?

Ja. En frivillig DPIA betragtes som god praksis og viser en proaktiv tilgang til databeskyttelse. Der er ingen straf for at gennemføre en DPIA, når man ikke strengt taget var forpligtet til det.