Tiden nærmere sig, og om mindre end en måned finder den nye persondataforordning anvendelse. Datatilsynet har løbende undervejs udstedt vejledninger om de nye regler, herunder har tilsynet tidligere udstedt vejledninger om bl.a. samtykke til behandling af personoplysninger og de registreredes rettigheder. Som den seneste i rækken har Datatilsynet nu offentliggjort en vejledning om brugen af de såkaldte konsekvensanalyser.

En konsekvensanalyse er en proces, der skal foretages forud for en planlagt behandling af personoplysninger, og som har til formål at vurdere de risici, der er for de registrerede fysiske personers rettigheder og frihedsrettigheder samt fastlægge foranstaltninger til at afhjælpe eller minimere disse risici. Det er den dataansvarlige virksomhed, der skal sørge for, at der bliver foretaget en konsekvensanalyse, og en manglende efterlevelse vil kunne være en overtrædelse af persondataforordningen.

En konsekvensanalyse skal som minimum indeholde en beskrivelse af de påtænkte behandlinger af personoplysninger samt formålene hermed, en vurdering af behandlingernes nødvendighed og proportionalitet, en vurdering af risiciene for de registrerede rettigheder og frihedsrettigheder samt en beskrivelse af, hvilke foranstaltninger der påtænkes for at imødegå disse risici.

Som eksempel på en behandling af personoplysninger, der kræver en forudgående konsekvensanalyse, kan nævnes en koncertarrangørs sikkerhedsvurdering af koncertgæster. Den private arrangør ønsker her at foretage en vurdering af, hvorvidt der blandt publikum til koncerten kunne være deltagere, der formodes at udgøre en særlig trussel. Denne risikovurdering kan arrangøren da foretage på baggrund af diverse tilgængelige oplysninger fra både private og offentlige kilder for dermed at kunne prøve at forudsige, om de deltagende gæster kan forventes at ville udgøre en sikkerhedsrisiko. En sådan databehandling vil indebære en høj risiko for de berørte personer og kan i sidste ende have den retsvirkning, at de pågældende, uden i øvrigt at have foretage noget ulovligt, nægtes adgang til koncerten, de ellers lovligt havde købt billet til. En sådan databehandling må kræve en konsekvensanalyse og muligvis en forudgående godkendelse (se nedenfor).

En behandling, der ligeledes vil kræve en forudgående konsekvensanalyse vil for eksempel være, hvor der sker en systematiseret behandling af følsomme personoplysninger i et større omfang. Et eksempel herpå kunne være overførelse af sygejournaler til Sundhedsplatformen. Sundhedsplatformen er en IT-platform, der samler informationer om patienter i Region Hovedstaden og Region Sjælland i én samlet elektronisk patientjournal for hver enkelt patient.

At konsekvensanalyser skal foretages forud for behandlingen skyldes naturligvis, at den dataansvarlige herigennem kan blive opmærksom på særlige risici og derved få taget de nødvendige forholdsregler, inden det er for sent. Med de nye regler er der lagt op til, at den dataansvarlige selv skal foretage en vurdering af, om behandlingen falder inden for et område, hvor det er nødvendigt at foretage en konsekvensanalyse. Dette kan være vanskeligt for den dataansvarlige at vurdere. Persondataforordningen anfører dog en række særlige tilfælde, hvor den dataansvarlige virksomhed på grund af behandlingens særlige karakter altid skal foretage en konsekvensanalyse. Dette er påkrævet, hvis der sker systematisk og omfattende vurdering af personlige forhold baseret på automatisk behandling, hvis der sker behandling i stort omfang af følsomme personoplysninger, eller hvis der sker systematisk overvågning af et offentlig tilgængeligt område.

Datatilsynet er efter persondataforordningen forpligtet til at udarbejde en positivliste, der skal hjælpe de dataansvarlige virksomheder i vurderingen af, hvornår der skal foretages en konsekvensanalyse. Listen, der ikke er udtømmende, vil således indeholde typer af behandlinger, der kræver forudgående konsekvensanalyse. Tilsynet har endnu ikke udarbejdet denne liste og ud fra vejledningen at bedømme, kan der være lange udsigter til, at listen bliver offentliggjort. Indtil da råder Datatilsynet de dataansvarlige virksomheder til at vurdere ud fra de oplistede kriterier i vejledningen.

Se nærmere om Datatilsynets vejledninger her

Har du spørgsmål til overstående, er du altid velkommen til at kontakte os.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du brug for en advokat med speciale i persondata og persondataloven?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.