Konsekvensanalyse
I nogle tilfælde, der skal foretages konsekvensanalyser før behandlingen af personoplysninger kan påbegyndes. Du kan læse nærmere om, hvornår her.
Med databeskyttelsesforordningen indføres et udgangspunkt om, at du som dataansvarlig skal gennemføre en konsekvensanalyse, når en behandling sandsynligvis vil indebære en høj risiko for, at den person, der behandles oplysninger om, får krænket sine rettigheder og frihedsrettigheder.
En sådan konsekvensanalyse skal foretages, inden du påbegynder behandlingen. Du skal rådføre dig med kommunens databeskyttelsesrådgiver når der foretages en konsekvensanalyse vedrørende databeskyttelse.
Når du som dataansvarlig skal vurdere, om en type behandling sandsynligvis vil medføre en høj risiko for krænkelser af en fysisk persons rettigheder og frihedsrettigheder, som dermed kræver, at du foretager en konsekvensanalyse, er det navnlig relevant at se på, om behandlingen gør brug af nye teknologier, herunder også anvendelse af teknologier på en ny måde.
At det navnlig er ved anvendelse af nye teknologier skyldes, at brug af ny teknologi kan indebære nye former for dataindsamling og – anvendelse, eventuelt med en høj risiko for fysiske personers rettigheder og frihedsrettigheder. De personlige og sociale konsekvenser af ibrugtagningen af ny teknologi kan være ukendte (f.eks. for borgernes dagligdag eller privatlivets fred). En konsekvensanalyse vil således hjælpe dig med at forstå og behandle disse risici.
Der skal objektivt set være tale om ny teknologi. Hvis du som dataansvarlig har udskiftet din IT-platform, betyder det ikke, at der objektivt set er tale om ny teknologi. Du har måske blot konkret fået et nyt IT-system, som dog ikke udgør en ny teknologi. Det er dog vigtigt at være opmærksom på, at der – henset til at det navnlig vil være ved brug af nye teknologier – fortsat kan være behov for at skulle udarbejde en konsekvensanalyse, selvom der ikke konkret er tale om en ny teknologi.
Hvad siger forordningen: Det fastsættes generelt i databeskyttelsesforordningens artikel 35, stk. 1, 1. pkt., hvornår den dataansvarlige skal foretage en konsekvensanalyse: ”Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.” 6 Vurderingen af, om der er tale om ny teknologi, skal i øvrigt ske i overensstemmelse med det opnåede niveau af teknologisk viden.
Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse, når der sandsynligvis vil være en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstå som følge af behandling af personoplysninger, der kan føre til fysisk, materiel eller immateriel skade. Det vil navnlig være tilfældet, hvis:
- Behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser.
- De registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller forhindret i at udøve kontrol med deres personoplysninger. Den registrerede kan være hindret i at udøve en rettighed eller gøre brug af en tjeneste eller en kontrakt, hvis behandlingsaktiviteterne sigter mod at tillade, ændre eller afvise de registreredes adgang til en tjeneste eller kontrakt. Det gælder f.eks., hvis en bank screener sine kunder i forhold til en referencedatabase med henblik på at beslutte, om de skal tilbydes et lån.
- Der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, og behandling af genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger.
- Personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografisk position eller bevægelser, med henblik på at oprette eller anvende personlige profiler.
- Der behandles personoplysninger om sårbare fysiske personer. Behandling af sådanne oplysninger er medtaget på grund af den øgede skævhed mellem den registrerede og den dataansvarlige, hvilket betyder, at enkeltpersoner kan være ude af stand til på en nem måde at give deres samtykke til eller modsætte sig behandlingen af deres oplysninger eller udøve deres rettigheder. Sårbare registrerede omfatter navnlig børn. Det kan endvidere være mere sårbare udsnit af befolkningen med behov for særlig beskyttelse (psykisk syge personer, asylansøgere m.v.). Det kan også være tilfælde, hvor der kan konstateres ubalance mellem den registreredes og din position som dataansvarlig.
Helt konkret kan det bl.a. være relevant, at du får klarlagt følgende:
- Hvilke systemer skal anvendes til din behandling – er det ny teknologi?
- Hvem – og hvor mange/i hvor stort omfang – skal der behandles oplysninger om (børn, psykisk syge eller andet)?
- Hvilke oplysninger skal der behandles (følsomme)?
- Hvordan skal oplysningerne behandles (videregivelse, samkøring m.v.)?
- Hvad er formålet med behandlingen?
- Hvordan fungerer systemet, der skal foretage behandlingen (er der nogle indbyggede sikkerhedsforanstaltninger m.v. i systemet)?
Ovenstående er blot angivet som forslag til, hvilke spørgsmål du kan tage udgangspunkt i, når du skal finde ud af, om du skal udarbejde en konsekvensanalyse. Når du har taget stilling til ovenstående – i kombination med eventuelle flere udredninger af relevans for din organisation – kan du tage udgangspunkt heri, når du skal søge at identificere, hvilke og hvor store risici behandlingen udgør for fysiske personers rettigheder og frihedsrettigheder (de registrerede).
Herunder kan du finde en simpel skabelon, der indeholde de lovpligtige punkter i en konsekvensanalyse.
HUSK! Du skal altid starte med at lave en risikovurdering.