Liste over behandlinger, der altid kræver en konsekvensanalyse, på vej

Skrevet 12. november, 2018

Ifølge den nye persondataforordning gælder der for dataansvarlige en pligt til at foretage en konsekvensanalyse, når en behandling af personoplysninger sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

 

Den dataansvarlige skal herefter foretage en vurdering af den enkelte behandling og de risici, behandlingen medfører, og på baggrund heraf vurdere, hvorvidt der skal foretages en analyse af behandlingens konsekvenser for beskyttelse af personoplysninger.

 

Forordningen forpligter herudover den nationale tilsynsmyndighed, i Danmark Datatilsynet, til at udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, hvor det er obligatorisk for den dataansvarlige at foretage en konsekvensanalyse. Listen har til formål at hjælpe de dataansvarlige ved deres vurdering af, om de skal foretage en konsekvensanalyse af en given behandling.

 

Med Datatilsynets udmelding den 2. november 2011 lader det til, at en sådan liste er undervejs.

 

Datatilsynet har udmeldt, at tilsynet netop har sendt et udkast til en dansk liste til Det Europæiske Databeskyttelsesråd til udtalelse, som forventes i løbet af december 2018 (udkastet kan ses på linket nedenfor). Datatilsynet vil efterfølgende offentliggøre en endelig liste over de behandlinger, som altid kræver en konsekvensanalyse.

 

Ud fra listen, som Datatilsynet har sendt til Det Europæiske Databeskyttelsesråd, vil følgende behandlingsaktiviteter altid kræve, at der foretages en konsekvensanalyse:

 

  1. Behandling af biometrisk data med det formål entydigt at identificere en fysisk person i kombination med mindst et andet kriterie fra WP29, Guidelines (WP 248 rev. 01)

 

  1. Behandling af genetisk data i kombination med mindst et andet kriterie fra WP29, Guidelines (WP 248 rev. 01)

 

  1. Behandling af lokationsdata i kombination med mindst et andet kriterie fra WP29, Guidelines (WP 248 rev. 01)

 

  1. Behandling med brug af innovativ teknologi i kombination med mindst et andet kriterie fra WP29, Guidelines (WP 248 rev. 01)

 

  1. Behandling som leder til afgørelser om individers adgang til produkter, ydelser, muligheder eller fordele, som er baseret på enhver form for automatisk behandling, herunder profilering

 

  1. Behandling som omfatter profilering af individer i stort omfang som defineret i WP29, Guidelines (WP 248 rev. 01)

 

  1. Behandling af personoplysninger om udsatte individer eller af særlige kategorier af personoplysninger, der gør brug af profilering eller anden automatisk behandling

 

  1. Behandling hvor et brud på persondatasikkerheden kan have en direkte effekt på individers sundhed eller sikkerhed

 

Listen er ikke udtømmende, og Datatilsynet kan ligeledes nå at foretage ændringer heri, før den endelige liste offentliggøres. Men kan dog som dataansvarlig ud fra ovenstående danne sig et fornuftigt indtryk af, hvornår man bør overveje at foretage en konsekvensanalyse af en behandling.

 

// Anders Nørgaard Jensen og Karoline Toft Lund