Ved du, hvornår din virksomhed skal foretage en konsekvensanalyse?

En konsekvensanalyse er en proces, der skal foretages forud for en planlagt behandling af personoplysninger, og som har til formål at vurdere de risici, der er for de registrerede fysiske personers rettigheder og frihedsrettigheder samt fastlægge foranstaltninger til at afhjælpe eller minimere disse risici. Det er den dataansvarlige virksomhed, der skal sørge for, at der bliver foretaget en konsekvensanalyse, og en manglende efterlevelse vil kunne være en overtrædelse af persondataforordningen.

En konsekvensanalyse skal som minimum indeholde en beskrivelse af de påtænkte behandlinger af personoplysninger samt formålene hermed, en vurdering af behandlingernes nødvendighed og proportionalitet, en vurdering af risiciene for de registrerede rettigheder og frihedsrettigheder samt en beskrivelse af, hvilke foranstaltninger der påtænkes for at imødegå disse risici.

Som eksempel på en behandling af personoplysninger, der kræver en forudgående konsekvensanalyse, kan nævnes en koncertarrangørs sikkerhedsvurdering af koncertgæster. Den private arrangør ønsker her at foretage en vurdering af, hvorvidt der blandt publikum til koncerten kunne være deltagere, der formodes at udgøre en særlig trussel. Denne risikovurdering kan arrangøren da foretage på baggrund af diverse tilgængelige oplysninger fra både private og offentlige kilder for dermed at kunne prøve at forudsige, om de deltagende gæster kan forventes at ville udgøre en sikkerhedsrisiko. En sådan databehandling vil indebære en høj risiko for de berørte personer og kan i sidste ende have den retsvirkning, at de pågældende, uden i øvrigt at have foretage noget ulovligt, nægtes adgang til koncerten, de ellers lovligt havde købt billet til. En sådan databehandling må kræve en konsekvensanalyse og muligvis en forudgående godkendelse (se nedenfor).

En behandling, der ligeledes vil kræve en forudgående konsekvensanalyse vil for eksempel være, hvor der sker en systematiseret behandling af følsomme personoplysninger i et større omfang. Et eksempel herpå kunne være overførelse af sygejournaler til Sundhedsplatformen. Sundhedsplatformen er en IT-platform, der samler informationer om patienter i Region Hovedstaden og Region Sjælland i én samlet elektronisk patientjournal for hver enkelt patient.

At konsekvensanalyser skal foretages forud for behandlingen skyldes naturligvis, at den dataansvarlige herigennem kan blive opmærksom på særlige risici og derved få taget de nødvendige forholdsregler, inden det er for sent. Med databeskyttelsesreglerne er der lagt op til, at den dataansvarlige selv skal foretage en vurdering af, om behandlingen falder inden for et område, hvor det er nødvendigt at foretage en konsekvensanalyse. Dette kan være vanskeligt for den dataansvarlige at vurdere. Persondataforordningen anfører dog en række særlige tilfælde, hvor den dataansvarlige virksomhed på grund af behandlingens særlige karakter altid skal foretage en konsekvensanalyse. Dette er påkrævet, hvis der sker systematisk og omfattende vurdering af personlige forhold baseret på automatisk behandling, hvis der sker behandling i stort omfang af følsomme personoplysninger, eller hvis der sker systematisk overvågning af et offentlig tilgængeligt område.

Datatilsynet er efter persondataforordningen forpligtet til at udarbejde en positivliste, der skal hjælpe de dataansvarlige virksomheder i vurderingen af, hvornår der skal foretages en konsekvensanalyse. Tilsynet har offentliggjort en liste over i hvilke tilfælde, der skal udarbejdes en konsekvensanalyse. 

Se nærmere om Datatilsynets vejledninger her

Har du spørgsmål til overstående, er du altid velkommen til at kontakte os.