DEL 5: Konsekvensanalyse

Konsekvensanalyse

En konsekvensanalyse vedrørende databeskyttelse (data protection impact assessment) er, som navnet antyder, en analyse af påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

Analysen skal således beskrive, hvilken behandling der foretages, vurdere behandlingens nødvendighed og proportionalitet og bidrage til at håndtere de risici, som behandlingen af personoplysninger medfører.

Risikovurderingen angår således risici for den registrerede og ikke organisationens (f.eks. en virksomheds) risici.

Det bemærkes i øvrigt, at du skal rådføre dig med din databeskyttelsesrådgiver – hvis din organisation har ud-peget en – når der foretages en konsekvensanalyse vedrørende databeskyttelse.

Som eksempel på ”nye teknologier” kan nævnes brugen af biometrisk data.

Et andet eksempel på ”ny teknologi” er politiets anvendelse af automatisk nummerpladegenkendelse (ANPG).

Et andet eksempel på ”ny teknologi” kan være det, der på engelsk kaldes Internet of Things

 

Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse, når der sandsynligvis vil være en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstå som følge af behandling af person-oplysninger, der kan føre til fysisk, materiel eller immateriel skade. Det vil navnlig være tilfældet, hvis:

  • Behandlingen kan give anledning til forskelsbehandling,
  • De registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger
  • Der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysnin-ger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller tilknyttede sik-kerhedsforanstaltninger
  • Personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på ar-bejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler,
  • Der behandles personoplysninger om sårbare fysiske personer

Helt konkret kan det bl.a. være relevant, at du får klarlagt følgende:

  • Hvilke systemer skal anvendes til din behandling – er det ny teknologi?
  • Hvem – og hvor mange/i hvor stort omfang – skal der behandles oplysninger om (børn, psykisk syge eller andet)?
  • Hvilke oplysninger skal der behandles (følsomme)?
  • Hvordan skal oplysningerne behandles (videregivelse, samkøring m.v.)?
  • Hvad er formålet med behandlingen?
  • Hvordan fungerer systemet, der skal foretage behandlingen (er der nogle indbyggede sikker-hedsforanstaltninger m.v. i systemet)?

 

Se også høringssvaret fra kommisionen angående hvornår der skal udarbejdes en DPIA.

 

Når du skal vurdere, hvorvidt du behandler oplysninger ”i stort omfang”, kan du med fordel lægge vægt på de samme kriterier, som der angives i vejledningen om databeskyttelsesrådgivere under afsnittet om, hvorvidt en privat virksomhed er forpligtet til at udpege en databeskyttelsesrådgiver4.

Det er således relevant at se på:

1. Antallet af personer, der behandles oplysninger om – enten det specifikke antal personer eller som andel af befolkningen,

2. Volumen/mængden af personoplysninger og eller volumen/mængden af de forskellige typer af personoplysninger, der bliver behandlet,

3. Tidsperioden, der behandles oplysninger i, samt hvorvidt behandlingen er permanent,

4. Den geografiske udstrækning af behandlingsaktiviteterne

 

Som et eksempel på hvordan du kan udføre en konsekvensanalyse vedrørende databeskyttelse, kan nævnes ISO/IEC DIS 29134 ”Information technology – Security techniques – Privacy impact assesment – Guidelines”, som er en international standard udarbejdet af den internationale standardiseringsorganisation,

International Organization for Standardization, ISO. Standarden er en vejledning i, hvorledes en konsekvensanalyse (Privacy Impact Assesment proces) kan udføres.

 

Indhold af konsekvensanalyse

En konsekvensanalyse skal som minimum indeholde følgende 4 punkter:

  1. En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige
  2. En vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
  3. En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
  4. De foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af databeskyttelses-forordningen, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime inte-resser

 

Her kan du finde links til øvrig information:    

Skabelon til håndtering af DPIA 

Information fra Dansk Industri om DPIA

Datatilsynets særvejledning om konsekvensanalyse

Nymity GDPR toolkit

Advisera GDPR implementation

EU guidelines for at lave DPIA

 

Der stilles krav til dokumentation af compliance med databeskyttelsesforordningen og den skal udover en DPIA indeholde en fortegnelse over:

  • Privatlivspolitik
  • Samtykkeformularer og bevis for samtykke
  • Procedurer for udøvelse af individuelle rettigheder
  • Databehandleraftaler
  • Den implementerede proces for hændelseshåndtering
  • Dataansvarlige kontrakter
  • Interne procedurer i tilfælde af et (persondatarelateret) sikkerhedsbrud
  • Dataoverføringsmekanismer (f.eks., EU-modelklausuler, Bindende virksomhedsregler og certificeringer hvor disse er relevante) osv

 

Artikel 30 stiller krav om dokumentation for persondatabehandlings aktiviteter som mindst skal indeholde:

  • Navn og kontaktoplysninger for organisationen (og i givet fald af andre controllere, din repræsentant og din databeskyttelsesansvarlige).
  • Formålet med din persondatabehandling
  • En beskrivelse af kategorier af enkeltpersoner og kategorier af personoplysninger
  • Kategorien af ​​modtagere af personoplysninger
  • Detaljer om dine overførsler til tredjelande, herunder dokumentation af overførselsmekanismernes sikkerhedsforanstaltninger
  • Retentionskemaer (hvor længe gemmes specifikke persondata)
  • En beskrivelse af dine tekniske og organisatoriske sikkerhedsforanstaltninger
COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE
 

Comments

No comments made yet. Be the first to submit a comment
Already Registered? Login Here
Guest
Thursday, 04 June 2020