Konsekvenser af behandling af personoplysninger

En af de centrale indsatser i forbindelse med forberedelsen til at kunne efterleve GDPR's regelsæt, er Artikel 35, der omhandler Konsekvensanalyse vedrørende databeskyttelse

Analysen skal du foretage "hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder" men hvis du har "flere lignende behandlingsaktiviteter, der indebærer lignende høje risici" kan du nøjes med at lave én, der dækker dem alle! Det betyder imidlertid også omvendt, at hvis du kan inddele dine behandlinger af personoplysninger i 6 arbejdsgange (hvor der sandsynligvis vil være en høj risiko), så skal du udarbejde 6 analyser!

Analysen gennemføres i samråd/rådføring "med databeskyttelsesrådgiveren, hvis en sådan er udpeget".

Der er sikre tegn på et behov for at gennemføre en konsekvensanalyse vedrørende databeskyttelse hvis arbejdsgangen/behandlingen:

  1. har karakter af "en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person"
  2. i stort omfang behandler "særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10"
  3. i stort omfang systematisk overvåger et offentligt tilgængeligt område

Datatilsynet lover på deres hjemmeside at de i marts 2018 (og det er jo sådan set nu!) vil komme med en vejledning til konsekvensanalysen - den glæder jeg mig personligt meget til at se! Ikke mindst fordi det i stk 4 hedder, at "Tilsynsmyndigheden udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1"

(Her, godt 4 år senere, kan jeg tilføje link'et til vejledningen)

Er vi heldige, offentliggør Datatilsynet også "liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse" - men den kommer sikkert ikke lige med det samme :)

Analysens indhold

Artikel 35 siger at analysen mindst skal omfatte

  1. "en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige"
  2. "en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene"
  3. "en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1", og
  4. "de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser."

Findes der godkendte adfærdskodekser, skal de indgå "ved vurderingen af konsekvenserne af de behandlingsaktiviteter, der udføres af de pågældende dataansvarlige eller databehandlere".

Er det relevant, skal du spørge de berørte eller deres repræsentant, hvis det kan ske uden "at berøre kommercielle eller samfundsmæssige interesser eller behandlingsaktiviteternes sikkerhed".

Findes der allerede en analyse som i forbindelse med generelle analyser i virksomheden, i en branche/sektor/industri eller på tværs af medlemsstaterne, som analyserer en/flere specifikke behandlinger og/eller arbejdsgange/processer - så er du ikke tvunget til at fremstille endnu en!

Afslutningsvis husker Artikel 35 os på, i stk 11 at gennemgå analysen jævnligt for at få bekræftet at konsekvenserne ikke har forværredes.

Analysens konklusion

Når du har stridt dig igennem analysen, kommer du til en konklusion - enten at du allerede lever op til forordningen, eller at din behandling af personoplysninger vil føre til høj risiko for at berørte vil lide skade.

Høring

Kan du ikke træffe foranstaltninger, som kan reducere denne risiko, pålægger Artikel 36 dig at høre tilsynsmyndigheden, inden du påbegynder behandlingen (og det vil så ofte, i realiteten, være inden du genoptager behandlingen[1]).

Det kan efter Artikel 36, stk 5 bestemmes ved lov i medlemsstatens nationale ret, dvs ved lovgivning, at den dataansvarlige ikke kan nøjes med at høre, men også skal opnå en tilladelse til behandling, i disse tilfælde.


  1. jeg antager at analysen omhandler eksisterende behandlinger ↩︎