Skip to main content
Download en simpel DPIA-startskabelon her →

Grundlæggende vejledning om DPIA'er

Definition af DPIA

En konsekvensanalyse (DPIA) identificerer og minimerer databeskyttelsesrisici i forbindelse med en specifik databehandlingsaktivitet. Artikel 35 i GDPR kræver, at der foretages en konsekvensanalyse (DPIA) i følgende tilfælde:

“Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

Lad os se nærmere på, hvornår man skal udføre en DPIA, hvilke fordele det har, og hvad der kan gøre det nemmere.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Obligatoriske DPIA'er

    For at vurdere om I har behov for en DPIA, bør I overveje følgende:

    • Om data vil blive behandlet ved hjælp af “ny teknologi”. Der er tale om meget nye, innovative teknologier, som er nye for den brede verden, med ukendte personlige og sociale konsekvenser -ikke teknologier, der tilfældigvis er nye for din virksomhed.
    • Om arten, omfanget, sammenhængen eller formålet med behandlingen eller den type data, der indsamles, sandsynligvis vil medføre en høj risiko for de registrerede.

    Artikel 35, stk. 3, kræver specifikt en DPIA, hvis I planlægger:

    1. en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person
    2. behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10
    3. systematisk overvågning af et offentligt tilgængeligt område i stort omfang

    Eksempler på processer, man skal udarbejde en DPIA for:

    • Automatiseret beslutningstagning i forbindelse med kreditkontrol, ansøgninger om realkreditlån osv.
    • Sporing af folks placering, browserhistorik, sundhedsovervågning osv.
    • Behandling af biometriske data, herunder ansigts-, iris- eller fingeraftryksgenkendelse osv.
    • Usynlig behandling, herunder listeformidling, direkte markedsføring, onlinesporing osv.
    • Datamatching med henblik på forebyggelse af svig og direkte markedsføring osv.
    • Behandling af personoplysninger i stor skala, selv om oplysningerne ikke er klassificeret som følsomme
    • Indsamling af oplysninger om mindreårige eller sårbare befolkningsgrupper
    • Håndtering af data, der kan forårsage fysisk skade på nogen, hvis de udsættes for dem
    • Indsamling af data med intelligente teknologier, herunder wearables fitnessudstyr, markedsundersøgelser med neuromåling osv.

    Hvis I ikke er sikker på, om I skal lave en DPIA, skal I huske, at det er god praksis at lave en DPIA for ethvert andet større projekt, der involverer indsamling og behandling af personoplysninger.

    Fordele

    Udarbejdelse af DPIA’er kan hjælpe jer med at forbedre virksomhedens strategi for beskyttelse af personlige oplysninger og påvise overholdelse af reglerne i tilfælde af revision. Det kan også give økonomiske fordele og øge jeres brandværdi ved at vise ansvarlighed og opbygge tillid hos kunderne.

    Proces

    En DPIA bør:

    • beskrive en ny databehandlingsaktivitet eller et nyt projekt
    • forklare hvorfor projektet er nødvendigt
    • udgøre en plan for at afbøde og håndtere risici i forbindelse med projektet

    DPIA’en skal udarbejdes i samråd med jeres databeskyttelsesrådgiver (DPO), hvis I har en sådan, og den skal besvare følgende spørgsmål:

    • Hvad er den nye databehandlingsaktivitet?
    • Hvorfor er det nødvendigt?
    • Hvordan vil data blive indsamlet og opbevaret?
    • Hvis data vil blive indsamlet?
    • Vil dette omfatte oplysninger om mindreårige?
    • Hvilke typer data vil blive indsamlet?
    • Hvor mange data vil der blive indsamlet?
    • Hvor længe opbevares oplysningerne?
    • Hvordan vil dataene blive beskyttet?
    • Hvilke risici er der?
    • Hvor alvorlig er hver enkelt risiko?
    • Hvor stor er sandsynligheden for, at denne aktivitet kan forårsage skade?
    • Hvad er det samlede risikoniveau for denne aktivitet?
    • Hvad har du planer om at gøre for at mindske disse risici?

    Vi anbefaler regelmæssige DPIA’er som en del af jeres strategi for databeskyttelse. Hold det enkelt, så bliver det lettere at gøre det regelmæssigt.

    Download en simpel DPIA-startskabelon her →

    Få den indsigt, du har brug for

    De fleste virksomheder ved ikke rigtig, hvor mange data de indsamler, hvem de tilhører, hvem der har adgang til dem, og hvilket risikoniveau de har.

    Software til datafinding kan hjælpe dig med hurtigt at identificere personlige data, der er gemt på tværs af dit teams lokale og cloud-lagring og e-mails. Dette fugleperspektiv på dine data gør det nemt at udarbejde DPIA’er og løbende overvåge og forbedre din strategi for beskyttelse af personlige oplysninger for at overholde lovgivningen.

    Prøv DataMapper gratis →

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR