Hent en gratis DPIA-skabelon
En DPIA (Data Protection Impact Assessment) er en proces til at vurdere og identificere risici ved behandling af persondata. Det er en vigtig del af at overholde persondataforordningen GDPR, og det er obligatorisk at udføre en DPIA, når der er en høj risiko for persondatabrud. På siden her får du en gratis DPIA-skabelon og en vejledning i hvordan du udfylder en DPIA.
Definition af DPIA
En konsekvensanalyse (DPIA) identificerer og minimerer databeskyttelsesrisici i forbindelse med en specifik databehandlingsaktivitet. Artikel 35 i GDPR kræver, at der foretages en konsekvensanalyse (DPIA) i følgende tilfælde:
“Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.”
Lad os se nærmere på, hvornår man skal udføre en DPIA, hvilke fordele det har, og hvad der kan gøre det nemmere.
Vil du have hjælp til at beskytte jeres persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Har I behov for en DPIA?
For at vurdere om I har behov for en DPIA, bør I overveje følgende:
- Om data vil blive behandlet ved hjælp af “ny teknologi”. Der er tale om meget nye, innovative teknologier, som er nye for den brede verden, med ukendte personlige og sociale konsekvenser -ikke teknologier, der tilfældigvis er nye for din virksomhed.
- Om arten, omfanget, sammenhængen eller formålet med behandlingen eller den type data, der indsamles, sandsynligvis vil medføre en høj risiko for de registrerede.
Artikel 35, stk. 3, kræver specifikt en DPIA, hvis I planlægger:
- en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person
- behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10
- systematisk overvågning af et offentligt tilgængeligt område i stort omfang
Eksempler på processer, man skal udarbejde en DPIA for:
- Automatiseret beslutningstagning i forbindelse med kreditkontrol, ansøgninger om realkreditlån osv.
- Sporing af folks placering, browserhistorik, sundhedsovervågning osv.
- Behandling af biometriske data, herunder ansigts-, iris- eller fingeraftryksgenkendelse osv.
- Usynlig behandling, herunder listeformidling, direkte markedsføring, onlinesporing osv.
- Datamatching med henblik på forebyggelse af svig og direkte markedsføring osv.
- Behandling af personoplysninger i stor skala, selv om oplysningerne ikke er klassificeret som følsomme
- Indsamling af oplysninger om mindreårige eller sårbare befolkningsgrupper
- Håndtering af data, der kan forårsage fysisk skade på nogen, hvis de udsættes for dem
- Indsamling af data med intelligente teknologier, herunder wearables fitnessudstyr, markedsundersøgelser med neuromåling osv.
Hvis I ikke er sikker på, om I skal lave en DPIA, skal I huske, at det er god praksis at lave en DPIA for ethvert andet større projekt, der involverer indsamling og behandling af personoplysninger.
Start GDPR-oprydningen hvor det trænger mest
Følsomme data kan let ophobe sig i medarbejdernes e-mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens e-mails.
Fordele ved en DPIA
Udarbejdelse af DPIA’er kan hjælpe jer med at forbedre virksomhedens strategi for beskyttelse af personlige oplysninger og påvise overholdelse af reglerne i tilfælde af revision. Det kan også give økonomiske fordele og øge jeres brandværdi ved at vise ansvarlighed og opbygge tillid hos kunderne.
Processen for at udarbejde en DPIA
En DPIA bør:
- beskrive en ny databehandlingsaktivitet eller et nyt projekt
- forklare hvorfor projektet er nødvendigt
- udgøre en plan for at afbøde og håndtere risici i forbindelse med projektet
DPIA’en skal udarbejdes i samråd med jeres databeskyttelsesrådgiver (DPO), hvis I har en sådan, og den skal besvare følgende spørgsmål:
- Hvad er den nye databehandlingsaktivitet?
- Hvorfor er det nødvendigt?
- Hvordan vil data blive indsamlet og opbevaret?
- Hvis data vil blive indsamlet?
- Vil dette omfatte oplysninger om mindreårige?
- Hvilke typer data vil blive indsamlet?
- Hvor mange data vil der blive indsamlet?
- Hvor længe opbevares oplysningerne?
- Hvordan vil dataene blive beskyttet?
- Hvilke risici er der?
- Hvor alvorlig er hver enkelt risiko?
- Hvor stor er sandsynligheden for, at denne aktivitet kan forårsage skade?
- Hvad er det samlede risikoniveau for denne aktivitet?
- Hvad har du planer om at gøre for at mindske disse risici?
Vi anbefaler regelmæssige DPIA’er som en del af jeres strategi for databeskyttelse. Hold det enkelt, så bliver det lettere at gøre det regelmæssigt.
Download en gratis skabelon til DPIA her
Det tager tid at udarbejde en DPIA korrekt. Processen kræver en grundig analyse af den pågældende behandling af persondata og dens potentielle risici. Derudover skal man inddrage relevante interessenter, såsom dataejere, dataansvarlige, databehandlere og medarbejdere. Processen kræver tid til dokumentation og rapportering af resultaterne af DPIA’en. For at hjælpe jer på vej, har vi udarbejdet en gratis skabelon for en DPIA. Du kan hente en gratis DPIA-skabelon her:
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →
