konsekvensanalyse - datatilsynet · 2018-04-10 · det fastsættes generelt i...
TRANSCRIPT
10
Konsekvensanalyse
Marts 2018
1
Indhold
1 Forord ________________________________________________________ 2
2 Hvad er en konsekvensanalyse ____________________________________ 3
3 Hvornaringr skal den dataansvarlige foretage en konsekvensanalyse __________ 5
31 Nye teknologier ________________________________________________________ 5
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder __________________ 7
33 Eksisterende behandlingsaktiviteter ________________________________________ 9
4 Saeligrligt paringkraeligvede tilfaeliglde _______________________________________ 10
41 Systematisk og omfattende vurdering af personlige forhold baseret paring automatisk behandling
10
42 Behandling af (foslashlsomme) oplysninger i stort omfang __________________________ 11
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde ____________________ 13
44 Tilsynsmyndighedens lister over behandlingsaktiviteter ________________________ 13
5 Faeliglles konsekvensanalyse _______________________________________ 15
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici _____________________ 15
52 Flere dataansvarlige ___________________________________________________ 15
6 Konsekvensanalysens indhold ____________________________________ 17
61 Minimumskrav ________________________________________________________ 17
62 Konsekvensanalysens udarbejdelse _______________________________________ 19
63 Generel konsekvensanalyse (art 35 stk 10) ________________________________ 19
64 Fornyet konsekvensanalyse _____________________________________________ 19
7 Forudgaringende hoslashring af tilsynsmyndigheden __________________________ 21
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden ___________ 21
72 Tilsynsmyndighedens reaktion ___________________________________________ 21
73 Grundlaget for tilsynsmyndighedens behandling ______________________________ 22
8 Indhentelse af den registreredes synspunkter _________________________ 23
9 Adfaeligrdskodekser_______________________________________________ 24
10 Opsummering _________________________________________________ 25
2
1 Forord
Denne vejledning er primaeligrt skrevet til dig der som dataansvarlig1 har brug for hjaeliglp til at vide hvornaringr du skal
foretage en konsekvensanalyse vedroslashrende databeskyttelse
Naringr du som privat virksomhed offentlig myndighed fysisk person institution eller ethvert andet organ har an-
svaret for en behandling (feks indsamling registrering videregivelse eller sletning) af personoplysninger om
andre personer er det vigtigt at vaeligre opmaeligrksom paring at du i tilstraeligkkelig grad beskytter de oplysninger du har
ansvaret for behandlingen af Det er i den forbindelse et krav at du som dataansvarlig gennemfoslashrer passende
tekniske og organisatoriske foranstaltninger for at sikre og for at vaeligre i stand til at paringvise at din behandling er
i overensstemmelse med databeskyttelsesforordningen
Derfor skal du som dataansvarlig vurdere hvilke negative konsekvenser en behandling vil kunne faring Paring denne
maringde kan du paring et oplyst grundlag tage stilling til om behandlingen ndash paring trods af de risici der er identificeret
herved ndash skal paringbegyndes
Med databeskyttelsesforordningen afskaffes den generelle anmeldelsespligt til Datatilsynet I stedet skal der nu
bla foretages en konsekvensanalyse vedroslashrende databeskyttelse naringr der sandsynligvis er en hoslashj risiko for at
behandlingen af oplysninger kan kraelignke den registreredes rettigheder og frihedsrettigheder med henblik paring at
fastsaeligtte foranstaltninger til at imoslashdegaring disse risici Dette vil vaeligre med til at skabe bedre databeskyttelse og
haelignger sammen med forordningens roslashde traringd om ansvarlighed
Konsekvensanalysen kan hjaeliglpe dig til at identificere og begraelignse de paringviste risici ved en given behandling
Resultatet af konsekvensanalysen boslashr saringledes tages i betragtning naringr der skal traeligffes passende foranstaltnin-
ger med henblik paring at paringvise at behandlingen af personoplysninger overholder de databeskyttelsesretlige reg-
ler
Formaringlet med databeskyttelsesforordningens regler om konsekvensanalyser er at indramme og koncentrere sig
om den behandling af oplysninger som faktisk medfoslashrer vaeligsentlige risici for de registrerede fremfor at anmelde
al persondatabehandling til Datatilsynet Konsekvensanalysen er et centralt element i overholdelsen af databe-
skyttelsesforordningen naringr der planlaeliggges eller foretages databehandling med hoslashj risiko
Der henvises i oslashvrigt til Artikel 29-gruppens vejledning om rdquoRetningslinjer for konsekvensanalyse vedroslashrende
databeskyttelse (DPIA) og bestemmelse af om behandlingen rdquosandsynligvis indebaeligrer en hoslashj risikordquo i henhold
til forordning (EU) 2016679rdquo2
1 Se vejledning om dataansvarlige og databehandlere for en naeligrmere gennemgang af hvornaringr man er dataansvarlig httpswwwdatatilsy-
netdkfileadminuser_uploaddokumenterVejledningerVejledning_om_dataansvarlige_og_databehandlere_-_endelig_versionpdf
2 Du kan paring Datatilsynets hjemmeside wwwdatatilsynetdk finde et direkte link til vejledningen paring dansk
3
2 Hvad er en konsekvensanalyse
En konsekvensanalyse vedroslashrende databeskyttelse (data protection impact assessment) er som navnet anty-
der en analyse af paringtaelignkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger
Det er en proces ndash herunder et saeligt af konkrete produkter som skabes ved processen ndash der har til formaringl at
vurderer risici for fysiske personers rettigheder og frihedsrettigheder og fastlaeliggge foranstaltninger til at afhjaeliglpe
disse risici Analysen skal saringledes beskrive hvilken behandling der foretages vurdere behandlingens noslashdven-
dighed og proportionalitet og bidrage til at haringndtere de risici som behandlingen af personoplysninger medfoslashrer
Du har som dataansvarlig alene pligt til at foretage en konsekvensanalyse i de tilfaeliglde hvor der sandsynligvis
er hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder herunder beskyttelse af personoplysninger
Har du konstateret at der sandsynligvis er en hoslashj risiko er det ligeledes dig der har ansvaret for at foretage en
konsekvensanalyse Foretages en behandling af en databehandler skal denne hjaeliglpe dig som dataansvarlig
med at udfoslashre konsekvensanalysen Databehandleren skal endvidere soslashrge for at give dig den noslashdvendige
information for at gennemfoslashre analysen Risikovurderingen angaringr saringledes risici for den registrerede og ikke
organisationens (feks en virksomheds) risici
Det foslashlger endvidere af forordningen at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver hvis du har en
naringr der foretages en konsekvensanalyse
Grundlaeligggende skal du igennem foslashlgende skridt i forbindelse med en konsekvensanalyse vedroslashrende databe-
skyttelse 1) foretage en vurdering af hvorvidt en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder Er dette tilfaeligldet 2) foretager du en konsekvensanalyse
vedroslashrende databeskyttelse med henblik paring 3) at traeligffe passende foranstaltninger til at begraelignse de paringviste
risici ved behandlingen og overholde forordningens krav Er det ikke muligt at begraelignse de paringviste risici ved
passende foranstaltninger saringledes at risikoen fortsat er hoslashj skal du 4) hoslashre Datatilsynet forud for igangsaeligttelse
af den paringtaelignkte behandling
Det er ikke et krav at man offentliggoslashr en konsekvensanalyse vedroslashrende databeskyttelse Det er den dataan-
svarliges beslutning om dette skal ske En offentliggoslashrelse kan dog vaeligre med til at skabe bedre gennemsigtig-
hed Fremfor at offentliggoslashre hele din konsekvensanalyse kan en offentliggoslashrelse bestaring af feks et ledelsesre-
sumeacute
4
5
3 Hvornaringr skal den dataansvarlige foretage
en konsekvensanalyse
Med databeskyttelsesforordningen indfoslashres saringledes et udgangspunkt om at du som dataansvarlig skal gen-
nemfoslashre en konsekvensanalyse naringr en behandling sandsynligvis vil indebaeligre en hoslashj risiko for at den person
der behandles oplysninger om faringr kraelignket sine rettigheder og frihedsrettigheder
En saringdan konsekvensanalyse skal foretages inden du paringbegynder behandlingen jf i oslashvrigt punkt 33 om
eksisterende behandlingsaktiviteter
Det bemaeligrkes i oslashvrigt at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver ndash hvis din organisation har ud-
peget en ndash naringr der foretages en konsekvensanalyse vedroslashrende databeskyttelse
31 Nye teknologier
Naringr du som dataansvarlig skal vurdere om en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
kraelignkelser af en fysisk persons rettigheder og frihedsrettigheder som dermed kraeligver at du foretager en kon-
sekvensanalyse er det navnlig relevant at se paring om behandlingen goslashr brug af nye teknologier herunder ogsaring
anvendelse af teknologier paring en ny maringde At det navnlig er ved anvendelse af nye teknologier skyldes at brug
af ny teknologi kan indebaeligre nye former for dataindsamling og ndash anvendelse eventuelt med en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder De personlige og sociale konsekvenser af ibrugtagningen
af ny teknologi kan vaeligre ukendte (feks for borgernes dagligdag eller privatlivets fred) En konsekvensana-
lyse vil saringledes hjaeliglpe dig med at forstaring og behandle disse risici
Der skal objektivt set vaeligre tale om ny teknologi Hvis du som dataansvarlig har udskiftet din IT-platform bety-
der det ikke at der objektivt set er tale om ny teknologi Du har maringske blot konkret faringet et nyt IT-system som
dog ikke udgoslashr en rdquony teknologirdquo Det er dog vigtigt at vaeligre opmaeligrksom paring at der ndash henset til at det rdquonavnligrdquo
vil vaeligre ved brug af nye teknologier ndash fortsat kan vaeligre behov for at skulle udarbejde en konsekvensanalyse
selvom der ikke konkret er tale om en rdquony teknologirdquo
Hvad siger forordningen
Det fastsaeligttes generelt i databeskyttelsesforordningens artikel 35 stk 1 1
pkt hvornaringr den dataansvarlige skal foretage en konsekvensanalyse
rdquoHvis en type behandling navnlig ved brug af nye teknologier og i medfoslashr af
sin karakter omfang sammenhaeligng og formaringl sandsynligvis vil indebaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder foretager
den dataansvarlige forud for behandlingen en analyse af de paringtaelignkte be-
handlingsaktiviteters konsekvenser for beskyttelse af personoplysningerrdquo
6
Vurderingen af om der er tale om ny teknologi skal i oslashvrigt ske i overensstemmelse med det opnaringede niveau
af teknologisk viden
Eksempel
Som eksempel paring rdquonye teknologierrdquo kan naeligvnes brugen af biometrisk data Biometri er den samlede betegnelse
for en raeligkke teknikker til identifikation og genkendelse af personer ved hjaeliglp af unikke biologiske kendetegn
hos personerne De biometriske teknikker bygger feks paring elektronisk genkendelse af ansigt oslashjne fingre
stemme haelignder vener og gangart Der er ikke noslashdvendigvis tale om ny teknologi blot fordi der anvendes
biometriske oplysninger men biometriske teknikker vil kunne indgaring i ny teknologi ligesom eksisterende biome-
trisk teknologi efter omstaeligndighederne kan blive anset for ny teknologi feks hvis det anvendes paring en ny maringde
Eksempel
Et andet eksempel paring rdquony teknologirdquo er politiets anvendelse af automatisk nummerpladegenkendelse (ANPG)
Systemet ndash der dog ikke er omfattet af databeskyttelsesforordningen men af retsharingndhaeligvelsesdirektivet ndash be-
staringr af en raeligkke stationaeligre kameraer opstillet ved vejstraeligkninger og mobile kameraer fastsat paring feks patrul-
jevogne Kameraerne genkender og laeligser nummerpladerne paring alle biler der passerer Paring baggrund af disse
laeligsninger kan systemet bla alarmere politiet hvis et koslashretoslashj som er registreret paring saeligrlige rdquohot-listerrdquo passerer
et kamera Bogstaver og tal i nummerpladen bliver saringledes automatisk omsat til tekst og slaringet op i en database
og hvis koslashretoslashjet er kendt i de tilkoblede systemer kommer der en besked op paring skaeligrmen i patruljevognen
ANPG-teknologi er endvidere i de senere aringr blevet udbredt i den private sektor feks som led i opkraeligvning af
betaling for parkering i p-huse mv
Eksempel
Et andet eksempel paring rdquony teknologirdquo kan vaeligre det der paring engelsk kaldes Internet of Things (paring dansk Tingenes
Internet) som overordnet daeligkker over det faelignomen at ikke kun mennesker men ogsaring nogetvores ting bliver
brugere af internettet Det kan feks vaeligre at laringseneadgangskontrollen i din organisation registrerer hvilke
medarbejdere der garingr ind og ud og hvornaringr med henblik paring feks at registrere medarbejdernes arbejdstid Det
kan ogsaring taelignkes anvendt med henblik paring at registrere hvornaringr den sidste person har forladt en bygning saring
der feks kan sendes information til tyverialarmen om at blive slaringet til eller til termostaterne i bygning om at blive
slukket Det kan ogsaring kan taelignkes anvendt i forhold til at sende besked til den enkelte medarbejdes computer
om at taelignde naringr medarbejderen moslashder ind
Et andet eksempel paring Internet of Things er intelligente trafiksystemer De kan feks bruges til at opkraeligve penge
for parkering eller for at koslashre paring gaden (road pricing) eller over en bro
I forhold til anvendelse af teknologier paring en ny maringde er det relevant at se paring om der er tale om innovativ brug
af teknologi eller nye organisatoriske loslashsninger Et eksempel herparing kan vaeligre at kombinere brugen af fingeraftryk
og ansigtsgenkendelse med henblik paring bedre kontrol med feks fysisk adgang til visse omraringder
I forbindelse med brugen af ny teknologi kan det endvidere vaeligre relevant at se paring kategorien af de personop-
lysninger der behandles Hvis der er tale om en behandlingsaktivitet som bruger ny teknologi der skal be-
handle foslashlsomme personoplysninger boslashr der udarbejdes en konsekvensanalyse Et eksempel paring anvendelse
af ny teknologi i denne situation kan vaeligre naringr kunstig intelligens anvendes til at diagnosticere patienter og
efterfoslashlgende anbefale en behandling
7
Brug af ny teknologi er dog ikke et krav Vaeliglger du feks at udskifte din IT-platform uden der er tale om brug
af ny teknologi skal du stadig vurdere om behandlingen medfoslashrer de naeligvnte risici for fysiske personers ret-
tigheder og frihedsrettigheder
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse naringr der sandsynligvis vil vaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstaring som foslashlge af behandling af person-
oplysninger der kan foslashre til fysisk materiel eller immateriel skade Det vil navnlig vaeligre tilfaeligldet hvis
Behandlingen kan give anledning til forskelsbehandling identitetstyveri eller -svig finansielle tab
skade paring omdoslashmme tab af fortrolighed for personoplysninger der er omfattet af tavshedspligt uauto-
riseret ophaeligvelse af pseudonymisering eller andre betydelige oslashkonomiske eller sociale konsekvenser
De registrerede kan blive beroslashvet deres rettigheder og frihedsrettigheder eller forhindret i at udoslashve
kontrol med deres personoplysninger Den registrerede kan vaeligre hindret i at udoslashve en rettighed eller
goslashre brug af en tjeneste eller en kontrakt hvis behandlingsaktiviteterne sigter mod at tillade aeligndre
eller afvise de registreredes adgang til en tjeneste eller kontrakt Det gaeliglder feks hvis en bank scree-
ner sine kunder i forhold til en referencedatabase med henblik paring at beslutte om de skal tilbydes et
laringn
Der behandles personoplysninger der viser race eller etnisk oprindelse politisk religioslashs eller filosofisk
overbevisning fagforeningsmaeligssigt tilhoslashrsforhold og behandling af genetiske data helbredsoplysnin-
ger eller oplysninger om seksuelle forhold eller straffedomme og lovovertraeligdelser eller tilknyttede sik-
kerhedsforanstaltninger
Personlige forhold evalueres navnlig analyse eller forudsigelse af forhold vedroslashrende indsats paring ar-
bejdspladsen oslashkonomisk situation helbred personlige praeligferencer eller interesser paringlidelighed eller
adfaeligrd eller geografisk position eller bevaeliggelser med henblik paring at oprette eller anvende personlige
profiler
Der behandles personoplysninger om saringrbare fysiske personer Behandling af saringdanne oplysninger er
medtaget paring grund af den oslashgede skaeligvhed mellem den registrerede og den dataansvarlige hvilket
Eksempler paring anvendelse af rdquonye teknologierrdquo
Iris-scanning
Kunstig intelligens
Kommunikation med feks det offent-
lige via apps paring mobile enheder
Brug af elektroniske identiteter
ANPG-teknologi som led i opkraeligv-
ning af parkeringsafgifter
8
betyder at enkeltpersoner kan vaeligre ude af stand til paring en nem maringde at give deres samtykke til eller
modsaeligtte sig behandlingen af deres oplysninger eller udoslashve deres rettigheder Saringrbare registrerede
omfatter navnlig boslashrn Det kan endvidere vaeligre mere saringrbare udsnit af befolkningen med behov for
saeligrlig beskyttelse (psykisk syge personer asylansoslashgere mv) Det kan ogsaring vaeligre tilfaeliglde hvor der
kan konstateres ubalance mellem den registreredes og din position som dataansvarlig
Eksempel ndash hvordan kan opgaven (vurdering af risici) gribes an
Naringr du skal vurdere om en risiko er hoslashj kan det vaeligre en hjaeliglp at starte med at identificere hvilke risici der i
det hele taget foreligger ved den paringtaelignkte behandling Det er i den henseende en fordel at du goslashr dig overve-
jelser om hvordan behandlingen skal foretages hvilke midler der skal anvendes samt hvilken kontekst be-
handlingen skal foregaring i
Helt konkret kan det bla vaeligre relevant at du faringr klarlagt foslashlgende
Hvilke systemer skal anvendes til din behandling ndash er det ny teknologi
Hvem ndash og hvor mangei hvor stort omfang ndash skal der behandles oplysninger om (boslashrn psykisk
syge eller andet)
Hvilke oplysninger skal der behandles (foslashlsomme)
Hvordan skal oplysningerne behandles (videregivelse samkoslashring mv)
Hvad er formaringlet med behandlingen
Hvordan fungerer systemet der skal foretage behandlingen (er der nogle indbyggede sikker-
hedsforanstaltninger mv i systemet)
Ovenstaringende er blot angivet som forslag til hvilke sposlashrgsmaringl du kan tage udgangspunk i naringr du skal finde ud
af om du skal udarbejde en konsekvensanalyse Naringr du har taget stilling til ovenstaringende ndash i kombination med
eventuelle flere udredninger af relevans for din organisation ndash kan du tage udgangspunkt heri naringr du skal soslashge
at identificere hvilke og hvor store risici behandlingen udgoslashr for fysiske personers rettigheder og frihedsrettighe-
der (de registrerede)
Du boslashr bestemme risikoens sandsynlighed og alvor under hensyn til behandlingens karakter omfang sammen-
haeligng og formaringl (er der tale om omfattende behandling er det foslashlsomme oplysninger og hvad er formaringlet med
behandlingen) Du skal evaluere risikoen paring baggrund af en objektiv vurdering I forhold til at skulle vurdere om
en identificeret risiko maring anses for at vaeligre hoslashj boslashr du se paring maeligngden af data du behandler og vurdere den i
forhold til den valgte behandlingsaktivitet (feks om der er tale om et stort antal personoplysninger som skal
behandles ved samstilling eller samkoslashring)
Der henvises naeligrmere til afsnit 41ndash43 umiddelbart nedenfor om saeligrligt paringkraeligvede tilfaeliglde hvor en behand-
ling sandsynligvis vil indebaeligre hoslashj risiko
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
1
Indhold
1 Forord ________________________________________________________ 2
2 Hvad er en konsekvensanalyse ____________________________________ 3
3 Hvornaringr skal den dataansvarlige foretage en konsekvensanalyse __________ 5
31 Nye teknologier ________________________________________________________ 5
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder __________________ 7
33 Eksisterende behandlingsaktiviteter ________________________________________ 9
4 Saeligrligt paringkraeligvede tilfaeliglde _______________________________________ 10
41 Systematisk og omfattende vurdering af personlige forhold baseret paring automatisk behandling
10
42 Behandling af (foslashlsomme) oplysninger i stort omfang __________________________ 11
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde ____________________ 13
44 Tilsynsmyndighedens lister over behandlingsaktiviteter ________________________ 13
5 Faeliglles konsekvensanalyse _______________________________________ 15
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici _____________________ 15
52 Flere dataansvarlige ___________________________________________________ 15
6 Konsekvensanalysens indhold ____________________________________ 17
61 Minimumskrav ________________________________________________________ 17
62 Konsekvensanalysens udarbejdelse _______________________________________ 19
63 Generel konsekvensanalyse (art 35 stk 10) ________________________________ 19
64 Fornyet konsekvensanalyse _____________________________________________ 19
7 Forudgaringende hoslashring af tilsynsmyndigheden __________________________ 21
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden ___________ 21
72 Tilsynsmyndighedens reaktion ___________________________________________ 21
73 Grundlaget for tilsynsmyndighedens behandling ______________________________ 22
8 Indhentelse af den registreredes synspunkter _________________________ 23
9 Adfaeligrdskodekser_______________________________________________ 24
10 Opsummering _________________________________________________ 25
2
1 Forord
Denne vejledning er primaeligrt skrevet til dig der som dataansvarlig1 har brug for hjaeliglp til at vide hvornaringr du skal
foretage en konsekvensanalyse vedroslashrende databeskyttelse
Naringr du som privat virksomhed offentlig myndighed fysisk person institution eller ethvert andet organ har an-
svaret for en behandling (feks indsamling registrering videregivelse eller sletning) af personoplysninger om
andre personer er det vigtigt at vaeligre opmaeligrksom paring at du i tilstraeligkkelig grad beskytter de oplysninger du har
ansvaret for behandlingen af Det er i den forbindelse et krav at du som dataansvarlig gennemfoslashrer passende
tekniske og organisatoriske foranstaltninger for at sikre og for at vaeligre i stand til at paringvise at din behandling er
i overensstemmelse med databeskyttelsesforordningen
Derfor skal du som dataansvarlig vurdere hvilke negative konsekvenser en behandling vil kunne faring Paring denne
maringde kan du paring et oplyst grundlag tage stilling til om behandlingen ndash paring trods af de risici der er identificeret
herved ndash skal paringbegyndes
Med databeskyttelsesforordningen afskaffes den generelle anmeldelsespligt til Datatilsynet I stedet skal der nu
bla foretages en konsekvensanalyse vedroslashrende databeskyttelse naringr der sandsynligvis er en hoslashj risiko for at
behandlingen af oplysninger kan kraelignke den registreredes rettigheder og frihedsrettigheder med henblik paring at
fastsaeligtte foranstaltninger til at imoslashdegaring disse risici Dette vil vaeligre med til at skabe bedre databeskyttelse og
haelignger sammen med forordningens roslashde traringd om ansvarlighed
Konsekvensanalysen kan hjaeliglpe dig til at identificere og begraelignse de paringviste risici ved en given behandling
Resultatet af konsekvensanalysen boslashr saringledes tages i betragtning naringr der skal traeligffes passende foranstaltnin-
ger med henblik paring at paringvise at behandlingen af personoplysninger overholder de databeskyttelsesretlige reg-
ler
Formaringlet med databeskyttelsesforordningens regler om konsekvensanalyser er at indramme og koncentrere sig
om den behandling af oplysninger som faktisk medfoslashrer vaeligsentlige risici for de registrerede fremfor at anmelde
al persondatabehandling til Datatilsynet Konsekvensanalysen er et centralt element i overholdelsen af databe-
skyttelsesforordningen naringr der planlaeliggges eller foretages databehandling med hoslashj risiko
Der henvises i oslashvrigt til Artikel 29-gruppens vejledning om rdquoRetningslinjer for konsekvensanalyse vedroslashrende
databeskyttelse (DPIA) og bestemmelse af om behandlingen rdquosandsynligvis indebaeligrer en hoslashj risikordquo i henhold
til forordning (EU) 2016679rdquo2
1 Se vejledning om dataansvarlige og databehandlere for en naeligrmere gennemgang af hvornaringr man er dataansvarlig httpswwwdatatilsy-
netdkfileadminuser_uploaddokumenterVejledningerVejledning_om_dataansvarlige_og_databehandlere_-_endelig_versionpdf
2 Du kan paring Datatilsynets hjemmeside wwwdatatilsynetdk finde et direkte link til vejledningen paring dansk
3
2 Hvad er en konsekvensanalyse
En konsekvensanalyse vedroslashrende databeskyttelse (data protection impact assessment) er som navnet anty-
der en analyse af paringtaelignkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger
Det er en proces ndash herunder et saeligt af konkrete produkter som skabes ved processen ndash der har til formaringl at
vurderer risici for fysiske personers rettigheder og frihedsrettigheder og fastlaeliggge foranstaltninger til at afhjaeliglpe
disse risici Analysen skal saringledes beskrive hvilken behandling der foretages vurdere behandlingens noslashdven-
dighed og proportionalitet og bidrage til at haringndtere de risici som behandlingen af personoplysninger medfoslashrer
Du har som dataansvarlig alene pligt til at foretage en konsekvensanalyse i de tilfaeliglde hvor der sandsynligvis
er hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder herunder beskyttelse af personoplysninger
Har du konstateret at der sandsynligvis er en hoslashj risiko er det ligeledes dig der har ansvaret for at foretage en
konsekvensanalyse Foretages en behandling af en databehandler skal denne hjaeliglpe dig som dataansvarlig
med at udfoslashre konsekvensanalysen Databehandleren skal endvidere soslashrge for at give dig den noslashdvendige
information for at gennemfoslashre analysen Risikovurderingen angaringr saringledes risici for den registrerede og ikke
organisationens (feks en virksomheds) risici
Det foslashlger endvidere af forordningen at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver hvis du har en
naringr der foretages en konsekvensanalyse
Grundlaeligggende skal du igennem foslashlgende skridt i forbindelse med en konsekvensanalyse vedroslashrende databe-
skyttelse 1) foretage en vurdering af hvorvidt en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder Er dette tilfaeligldet 2) foretager du en konsekvensanalyse
vedroslashrende databeskyttelse med henblik paring 3) at traeligffe passende foranstaltninger til at begraelignse de paringviste
risici ved behandlingen og overholde forordningens krav Er det ikke muligt at begraelignse de paringviste risici ved
passende foranstaltninger saringledes at risikoen fortsat er hoslashj skal du 4) hoslashre Datatilsynet forud for igangsaeligttelse
af den paringtaelignkte behandling
Det er ikke et krav at man offentliggoslashr en konsekvensanalyse vedroslashrende databeskyttelse Det er den dataan-
svarliges beslutning om dette skal ske En offentliggoslashrelse kan dog vaeligre med til at skabe bedre gennemsigtig-
hed Fremfor at offentliggoslashre hele din konsekvensanalyse kan en offentliggoslashrelse bestaring af feks et ledelsesre-
sumeacute
4
5
3 Hvornaringr skal den dataansvarlige foretage
en konsekvensanalyse
Med databeskyttelsesforordningen indfoslashres saringledes et udgangspunkt om at du som dataansvarlig skal gen-
nemfoslashre en konsekvensanalyse naringr en behandling sandsynligvis vil indebaeligre en hoslashj risiko for at den person
der behandles oplysninger om faringr kraelignket sine rettigheder og frihedsrettigheder
En saringdan konsekvensanalyse skal foretages inden du paringbegynder behandlingen jf i oslashvrigt punkt 33 om
eksisterende behandlingsaktiviteter
Det bemaeligrkes i oslashvrigt at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver ndash hvis din organisation har ud-
peget en ndash naringr der foretages en konsekvensanalyse vedroslashrende databeskyttelse
31 Nye teknologier
Naringr du som dataansvarlig skal vurdere om en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
kraelignkelser af en fysisk persons rettigheder og frihedsrettigheder som dermed kraeligver at du foretager en kon-
sekvensanalyse er det navnlig relevant at se paring om behandlingen goslashr brug af nye teknologier herunder ogsaring
anvendelse af teknologier paring en ny maringde At det navnlig er ved anvendelse af nye teknologier skyldes at brug
af ny teknologi kan indebaeligre nye former for dataindsamling og ndash anvendelse eventuelt med en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder De personlige og sociale konsekvenser af ibrugtagningen
af ny teknologi kan vaeligre ukendte (feks for borgernes dagligdag eller privatlivets fred) En konsekvensana-
lyse vil saringledes hjaeliglpe dig med at forstaring og behandle disse risici
Der skal objektivt set vaeligre tale om ny teknologi Hvis du som dataansvarlig har udskiftet din IT-platform bety-
der det ikke at der objektivt set er tale om ny teknologi Du har maringske blot konkret faringet et nyt IT-system som
dog ikke udgoslashr en rdquony teknologirdquo Det er dog vigtigt at vaeligre opmaeligrksom paring at der ndash henset til at det rdquonavnligrdquo
vil vaeligre ved brug af nye teknologier ndash fortsat kan vaeligre behov for at skulle udarbejde en konsekvensanalyse
selvom der ikke konkret er tale om en rdquony teknologirdquo
Hvad siger forordningen
Det fastsaeligttes generelt i databeskyttelsesforordningens artikel 35 stk 1 1
pkt hvornaringr den dataansvarlige skal foretage en konsekvensanalyse
rdquoHvis en type behandling navnlig ved brug af nye teknologier og i medfoslashr af
sin karakter omfang sammenhaeligng og formaringl sandsynligvis vil indebaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder foretager
den dataansvarlige forud for behandlingen en analyse af de paringtaelignkte be-
handlingsaktiviteters konsekvenser for beskyttelse af personoplysningerrdquo
6
Vurderingen af om der er tale om ny teknologi skal i oslashvrigt ske i overensstemmelse med det opnaringede niveau
af teknologisk viden
Eksempel
Som eksempel paring rdquonye teknologierrdquo kan naeligvnes brugen af biometrisk data Biometri er den samlede betegnelse
for en raeligkke teknikker til identifikation og genkendelse af personer ved hjaeliglp af unikke biologiske kendetegn
hos personerne De biometriske teknikker bygger feks paring elektronisk genkendelse af ansigt oslashjne fingre
stemme haelignder vener og gangart Der er ikke noslashdvendigvis tale om ny teknologi blot fordi der anvendes
biometriske oplysninger men biometriske teknikker vil kunne indgaring i ny teknologi ligesom eksisterende biome-
trisk teknologi efter omstaeligndighederne kan blive anset for ny teknologi feks hvis det anvendes paring en ny maringde
Eksempel
Et andet eksempel paring rdquony teknologirdquo er politiets anvendelse af automatisk nummerpladegenkendelse (ANPG)
Systemet ndash der dog ikke er omfattet af databeskyttelsesforordningen men af retsharingndhaeligvelsesdirektivet ndash be-
staringr af en raeligkke stationaeligre kameraer opstillet ved vejstraeligkninger og mobile kameraer fastsat paring feks patrul-
jevogne Kameraerne genkender og laeligser nummerpladerne paring alle biler der passerer Paring baggrund af disse
laeligsninger kan systemet bla alarmere politiet hvis et koslashretoslashj som er registreret paring saeligrlige rdquohot-listerrdquo passerer
et kamera Bogstaver og tal i nummerpladen bliver saringledes automatisk omsat til tekst og slaringet op i en database
og hvis koslashretoslashjet er kendt i de tilkoblede systemer kommer der en besked op paring skaeligrmen i patruljevognen
ANPG-teknologi er endvidere i de senere aringr blevet udbredt i den private sektor feks som led i opkraeligvning af
betaling for parkering i p-huse mv
Eksempel
Et andet eksempel paring rdquony teknologirdquo kan vaeligre det der paring engelsk kaldes Internet of Things (paring dansk Tingenes
Internet) som overordnet daeligkker over det faelignomen at ikke kun mennesker men ogsaring nogetvores ting bliver
brugere af internettet Det kan feks vaeligre at laringseneadgangskontrollen i din organisation registrerer hvilke
medarbejdere der garingr ind og ud og hvornaringr med henblik paring feks at registrere medarbejdernes arbejdstid Det
kan ogsaring taelignkes anvendt med henblik paring at registrere hvornaringr den sidste person har forladt en bygning saring
der feks kan sendes information til tyverialarmen om at blive slaringet til eller til termostaterne i bygning om at blive
slukket Det kan ogsaring kan taelignkes anvendt i forhold til at sende besked til den enkelte medarbejdes computer
om at taelignde naringr medarbejderen moslashder ind
Et andet eksempel paring Internet of Things er intelligente trafiksystemer De kan feks bruges til at opkraeligve penge
for parkering eller for at koslashre paring gaden (road pricing) eller over en bro
I forhold til anvendelse af teknologier paring en ny maringde er det relevant at se paring om der er tale om innovativ brug
af teknologi eller nye organisatoriske loslashsninger Et eksempel herparing kan vaeligre at kombinere brugen af fingeraftryk
og ansigtsgenkendelse med henblik paring bedre kontrol med feks fysisk adgang til visse omraringder
I forbindelse med brugen af ny teknologi kan det endvidere vaeligre relevant at se paring kategorien af de personop-
lysninger der behandles Hvis der er tale om en behandlingsaktivitet som bruger ny teknologi der skal be-
handle foslashlsomme personoplysninger boslashr der udarbejdes en konsekvensanalyse Et eksempel paring anvendelse
af ny teknologi i denne situation kan vaeligre naringr kunstig intelligens anvendes til at diagnosticere patienter og
efterfoslashlgende anbefale en behandling
7
Brug af ny teknologi er dog ikke et krav Vaeliglger du feks at udskifte din IT-platform uden der er tale om brug
af ny teknologi skal du stadig vurdere om behandlingen medfoslashrer de naeligvnte risici for fysiske personers ret-
tigheder og frihedsrettigheder
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse naringr der sandsynligvis vil vaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstaring som foslashlge af behandling af person-
oplysninger der kan foslashre til fysisk materiel eller immateriel skade Det vil navnlig vaeligre tilfaeligldet hvis
Behandlingen kan give anledning til forskelsbehandling identitetstyveri eller -svig finansielle tab
skade paring omdoslashmme tab af fortrolighed for personoplysninger der er omfattet af tavshedspligt uauto-
riseret ophaeligvelse af pseudonymisering eller andre betydelige oslashkonomiske eller sociale konsekvenser
De registrerede kan blive beroslashvet deres rettigheder og frihedsrettigheder eller forhindret i at udoslashve
kontrol med deres personoplysninger Den registrerede kan vaeligre hindret i at udoslashve en rettighed eller
goslashre brug af en tjeneste eller en kontrakt hvis behandlingsaktiviteterne sigter mod at tillade aeligndre
eller afvise de registreredes adgang til en tjeneste eller kontrakt Det gaeliglder feks hvis en bank scree-
ner sine kunder i forhold til en referencedatabase med henblik paring at beslutte om de skal tilbydes et
laringn
Der behandles personoplysninger der viser race eller etnisk oprindelse politisk religioslashs eller filosofisk
overbevisning fagforeningsmaeligssigt tilhoslashrsforhold og behandling af genetiske data helbredsoplysnin-
ger eller oplysninger om seksuelle forhold eller straffedomme og lovovertraeligdelser eller tilknyttede sik-
kerhedsforanstaltninger
Personlige forhold evalueres navnlig analyse eller forudsigelse af forhold vedroslashrende indsats paring ar-
bejdspladsen oslashkonomisk situation helbred personlige praeligferencer eller interesser paringlidelighed eller
adfaeligrd eller geografisk position eller bevaeliggelser med henblik paring at oprette eller anvende personlige
profiler
Der behandles personoplysninger om saringrbare fysiske personer Behandling af saringdanne oplysninger er
medtaget paring grund af den oslashgede skaeligvhed mellem den registrerede og den dataansvarlige hvilket
Eksempler paring anvendelse af rdquonye teknologierrdquo
Iris-scanning
Kunstig intelligens
Kommunikation med feks det offent-
lige via apps paring mobile enheder
Brug af elektroniske identiteter
ANPG-teknologi som led i opkraeligv-
ning af parkeringsafgifter
8
betyder at enkeltpersoner kan vaeligre ude af stand til paring en nem maringde at give deres samtykke til eller
modsaeligtte sig behandlingen af deres oplysninger eller udoslashve deres rettigheder Saringrbare registrerede
omfatter navnlig boslashrn Det kan endvidere vaeligre mere saringrbare udsnit af befolkningen med behov for
saeligrlig beskyttelse (psykisk syge personer asylansoslashgere mv) Det kan ogsaring vaeligre tilfaeliglde hvor der
kan konstateres ubalance mellem den registreredes og din position som dataansvarlig
Eksempel ndash hvordan kan opgaven (vurdering af risici) gribes an
Naringr du skal vurdere om en risiko er hoslashj kan det vaeligre en hjaeliglp at starte med at identificere hvilke risici der i
det hele taget foreligger ved den paringtaelignkte behandling Det er i den henseende en fordel at du goslashr dig overve-
jelser om hvordan behandlingen skal foretages hvilke midler der skal anvendes samt hvilken kontekst be-
handlingen skal foregaring i
Helt konkret kan det bla vaeligre relevant at du faringr klarlagt foslashlgende
Hvilke systemer skal anvendes til din behandling ndash er det ny teknologi
Hvem ndash og hvor mangei hvor stort omfang ndash skal der behandles oplysninger om (boslashrn psykisk
syge eller andet)
Hvilke oplysninger skal der behandles (foslashlsomme)
Hvordan skal oplysningerne behandles (videregivelse samkoslashring mv)
Hvad er formaringlet med behandlingen
Hvordan fungerer systemet der skal foretage behandlingen (er der nogle indbyggede sikker-
hedsforanstaltninger mv i systemet)
Ovenstaringende er blot angivet som forslag til hvilke sposlashrgsmaringl du kan tage udgangspunk i naringr du skal finde ud
af om du skal udarbejde en konsekvensanalyse Naringr du har taget stilling til ovenstaringende ndash i kombination med
eventuelle flere udredninger af relevans for din organisation ndash kan du tage udgangspunkt heri naringr du skal soslashge
at identificere hvilke og hvor store risici behandlingen udgoslashr for fysiske personers rettigheder og frihedsrettighe-
der (de registrerede)
Du boslashr bestemme risikoens sandsynlighed og alvor under hensyn til behandlingens karakter omfang sammen-
haeligng og formaringl (er der tale om omfattende behandling er det foslashlsomme oplysninger og hvad er formaringlet med
behandlingen) Du skal evaluere risikoen paring baggrund af en objektiv vurdering I forhold til at skulle vurdere om
en identificeret risiko maring anses for at vaeligre hoslashj boslashr du se paring maeligngden af data du behandler og vurdere den i
forhold til den valgte behandlingsaktivitet (feks om der er tale om et stort antal personoplysninger som skal
behandles ved samstilling eller samkoslashring)
Der henvises naeligrmere til afsnit 41ndash43 umiddelbart nedenfor om saeligrligt paringkraeligvede tilfaeliglde hvor en behand-
ling sandsynligvis vil indebaeligre hoslashj risiko
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
2
1 Forord
Denne vejledning er primaeligrt skrevet til dig der som dataansvarlig1 har brug for hjaeliglp til at vide hvornaringr du skal
foretage en konsekvensanalyse vedroslashrende databeskyttelse
Naringr du som privat virksomhed offentlig myndighed fysisk person institution eller ethvert andet organ har an-
svaret for en behandling (feks indsamling registrering videregivelse eller sletning) af personoplysninger om
andre personer er det vigtigt at vaeligre opmaeligrksom paring at du i tilstraeligkkelig grad beskytter de oplysninger du har
ansvaret for behandlingen af Det er i den forbindelse et krav at du som dataansvarlig gennemfoslashrer passende
tekniske og organisatoriske foranstaltninger for at sikre og for at vaeligre i stand til at paringvise at din behandling er
i overensstemmelse med databeskyttelsesforordningen
Derfor skal du som dataansvarlig vurdere hvilke negative konsekvenser en behandling vil kunne faring Paring denne
maringde kan du paring et oplyst grundlag tage stilling til om behandlingen ndash paring trods af de risici der er identificeret
herved ndash skal paringbegyndes
Med databeskyttelsesforordningen afskaffes den generelle anmeldelsespligt til Datatilsynet I stedet skal der nu
bla foretages en konsekvensanalyse vedroslashrende databeskyttelse naringr der sandsynligvis er en hoslashj risiko for at
behandlingen af oplysninger kan kraelignke den registreredes rettigheder og frihedsrettigheder med henblik paring at
fastsaeligtte foranstaltninger til at imoslashdegaring disse risici Dette vil vaeligre med til at skabe bedre databeskyttelse og
haelignger sammen med forordningens roslashde traringd om ansvarlighed
Konsekvensanalysen kan hjaeliglpe dig til at identificere og begraelignse de paringviste risici ved en given behandling
Resultatet af konsekvensanalysen boslashr saringledes tages i betragtning naringr der skal traeligffes passende foranstaltnin-
ger med henblik paring at paringvise at behandlingen af personoplysninger overholder de databeskyttelsesretlige reg-
ler
Formaringlet med databeskyttelsesforordningens regler om konsekvensanalyser er at indramme og koncentrere sig
om den behandling af oplysninger som faktisk medfoslashrer vaeligsentlige risici for de registrerede fremfor at anmelde
al persondatabehandling til Datatilsynet Konsekvensanalysen er et centralt element i overholdelsen af databe-
skyttelsesforordningen naringr der planlaeliggges eller foretages databehandling med hoslashj risiko
Der henvises i oslashvrigt til Artikel 29-gruppens vejledning om rdquoRetningslinjer for konsekvensanalyse vedroslashrende
databeskyttelse (DPIA) og bestemmelse af om behandlingen rdquosandsynligvis indebaeligrer en hoslashj risikordquo i henhold
til forordning (EU) 2016679rdquo2
1 Se vejledning om dataansvarlige og databehandlere for en naeligrmere gennemgang af hvornaringr man er dataansvarlig httpswwwdatatilsy-
netdkfileadminuser_uploaddokumenterVejledningerVejledning_om_dataansvarlige_og_databehandlere_-_endelig_versionpdf
2 Du kan paring Datatilsynets hjemmeside wwwdatatilsynetdk finde et direkte link til vejledningen paring dansk
3
2 Hvad er en konsekvensanalyse
En konsekvensanalyse vedroslashrende databeskyttelse (data protection impact assessment) er som navnet anty-
der en analyse af paringtaelignkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger
Det er en proces ndash herunder et saeligt af konkrete produkter som skabes ved processen ndash der har til formaringl at
vurderer risici for fysiske personers rettigheder og frihedsrettigheder og fastlaeliggge foranstaltninger til at afhjaeliglpe
disse risici Analysen skal saringledes beskrive hvilken behandling der foretages vurdere behandlingens noslashdven-
dighed og proportionalitet og bidrage til at haringndtere de risici som behandlingen af personoplysninger medfoslashrer
Du har som dataansvarlig alene pligt til at foretage en konsekvensanalyse i de tilfaeliglde hvor der sandsynligvis
er hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder herunder beskyttelse af personoplysninger
Har du konstateret at der sandsynligvis er en hoslashj risiko er det ligeledes dig der har ansvaret for at foretage en
konsekvensanalyse Foretages en behandling af en databehandler skal denne hjaeliglpe dig som dataansvarlig
med at udfoslashre konsekvensanalysen Databehandleren skal endvidere soslashrge for at give dig den noslashdvendige
information for at gennemfoslashre analysen Risikovurderingen angaringr saringledes risici for den registrerede og ikke
organisationens (feks en virksomheds) risici
Det foslashlger endvidere af forordningen at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver hvis du har en
naringr der foretages en konsekvensanalyse
Grundlaeligggende skal du igennem foslashlgende skridt i forbindelse med en konsekvensanalyse vedroslashrende databe-
skyttelse 1) foretage en vurdering af hvorvidt en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder Er dette tilfaeligldet 2) foretager du en konsekvensanalyse
vedroslashrende databeskyttelse med henblik paring 3) at traeligffe passende foranstaltninger til at begraelignse de paringviste
risici ved behandlingen og overholde forordningens krav Er det ikke muligt at begraelignse de paringviste risici ved
passende foranstaltninger saringledes at risikoen fortsat er hoslashj skal du 4) hoslashre Datatilsynet forud for igangsaeligttelse
af den paringtaelignkte behandling
Det er ikke et krav at man offentliggoslashr en konsekvensanalyse vedroslashrende databeskyttelse Det er den dataan-
svarliges beslutning om dette skal ske En offentliggoslashrelse kan dog vaeligre med til at skabe bedre gennemsigtig-
hed Fremfor at offentliggoslashre hele din konsekvensanalyse kan en offentliggoslashrelse bestaring af feks et ledelsesre-
sumeacute
4
5
3 Hvornaringr skal den dataansvarlige foretage
en konsekvensanalyse
Med databeskyttelsesforordningen indfoslashres saringledes et udgangspunkt om at du som dataansvarlig skal gen-
nemfoslashre en konsekvensanalyse naringr en behandling sandsynligvis vil indebaeligre en hoslashj risiko for at den person
der behandles oplysninger om faringr kraelignket sine rettigheder og frihedsrettigheder
En saringdan konsekvensanalyse skal foretages inden du paringbegynder behandlingen jf i oslashvrigt punkt 33 om
eksisterende behandlingsaktiviteter
Det bemaeligrkes i oslashvrigt at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver ndash hvis din organisation har ud-
peget en ndash naringr der foretages en konsekvensanalyse vedroslashrende databeskyttelse
31 Nye teknologier
Naringr du som dataansvarlig skal vurdere om en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
kraelignkelser af en fysisk persons rettigheder og frihedsrettigheder som dermed kraeligver at du foretager en kon-
sekvensanalyse er det navnlig relevant at se paring om behandlingen goslashr brug af nye teknologier herunder ogsaring
anvendelse af teknologier paring en ny maringde At det navnlig er ved anvendelse af nye teknologier skyldes at brug
af ny teknologi kan indebaeligre nye former for dataindsamling og ndash anvendelse eventuelt med en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder De personlige og sociale konsekvenser af ibrugtagningen
af ny teknologi kan vaeligre ukendte (feks for borgernes dagligdag eller privatlivets fred) En konsekvensana-
lyse vil saringledes hjaeliglpe dig med at forstaring og behandle disse risici
Der skal objektivt set vaeligre tale om ny teknologi Hvis du som dataansvarlig har udskiftet din IT-platform bety-
der det ikke at der objektivt set er tale om ny teknologi Du har maringske blot konkret faringet et nyt IT-system som
dog ikke udgoslashr en rdquony teknologirdquo Det er dog vigtigt at vaeligre opmaeligrksom paring at der ndash henset til at det rdquonavnligrdquo
vil vaeligre ved brug af nye teknologier ndash fortsat kan vaeligre behov for at skulle udarbejde en konsekvensanalyse
selvom der ikke konkret er tale om en rdquony teknologirdquo
Hvad siger forordningen
Det fastsaeligttes generelt i databeskyttelsesforordningens artikel 35 stk 1 1
pkt hvornaringr den dataansvarlige skal foretage en konsekvensanalyse
rdquoHvis en type behandling navnlig ved brug af nye teknologier og i medfoslashr af
sin karakter omfang sammenhaeligng og formaringl sandsynligvis vil indebaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder foretager
den dataansvarlige forud for behandlingen en analyse af de paringtaelignkte be-
handlingsaktiviteters konsekvenser for beskyttelse af personoplysningerrdquo
6
Vurderingen af om der er tale om ny teknologi skal i oslashvrigt ske i overensstemmelse med det opnaringede niveau
af teknologisk viden
Eksempel
Som eksempel paring rdquonye teknologierrdquo kan naeligvnes brugen af biometrisk data Biometri er den samlede betegnelse
for en raeligkke teknikker til identifikation og genkendelse af personer ved hjaeliglp af unikke biologiske kendetegn
hos personerne De biometriske teknikker bygger feks paring elektronisk genkendelse af ansigt oslashjne fingre
stemme haelignder vener og gangart Der er ikke noslashdvendigvis tale om ny teknologi blot fordi der anvendes
biometriske oplysninger men biometriske teknikker vil kunne indgaring i ny teknologi ligesom eksisterende biome-
trisk teknologi efter omstaeligndighederne kan blive anset for ny teknologi feks hvis det anvendes paring en ny maringde
Eksempel
Et andet eksempel paring rdquony teknologirdquo er politiets anvendelse af automatisk nummerpladegenkendelse (ANPG)
Systemet ndash der dog ikke er omfattet af databeskyttelsesforordningen men af retsharingndhaeligvelsesdirektivet ndash be-
staringr af en raeligkke stationaeligre kameraer opstillet ved vejstraeligkninger og mobile kameraer fastsat paring feks patrul-
jevogne Kameraerne genkender og laeligser nummerpladerne paring alle biler der passerer Paring baggrund af disse
laeligsninger kan systemet bla alarmere politiet hvis et koslashretoslashj som er registreret paring saeligrlige rdquohot-listerrdquo passerer
et kamera Bogstaver og tal i nummerpladen bliver saringledes automatisk omsat til tekst og slaringet op i en database
og hvis koslashretoslashjet er kendt i de tilkoblede systemer kommer der en besked op paring skaeligrmen i patruljevognen
ANPG-teknologi er endvidere i de senere aringr blevet udbredt i den private sektor feks som led i opkraeligvning af
betaling for parkering i p-huse mv
Eksempel
Et andet eksempel paring rdquony teknologirdquo kan vaeligre det der paring engelsk kaldes Internet of Things (paring dansk Tingenes
Internet) som overordnet daeligkker over det faelignomen at ikke kun mennesker men ogsaring nogetvores ting bliver
brugere af internettet Det kan feks vaeligre at laringseneadgangskontrollen i din organisation registrerer hvilke
medarbejdere der garingr ind og ud og hvornaringr med henblik paring feks at registrere medarbejdernes arbejdstid Det
kan ogsaring taelignkes anvendt med henblik paring at registrere hvornaringr den sidste person har forladt en bygning saring
der feks kan sendes information til tyverialarmen om at blive slaringet til eller til termostaterne i bygning om at blive
slukket Det kan ogsaring kan taelignkes anvendt i forhold til at sende besked til den enkelte medarbejdes computer
om at taelignde naringr medarbejderen moslashder ind
Et andet eksempel paring Internet of Things er intelligente trafiksystemer De kan feks bruges til at opkraeligve penge
for parkering eller for at koslashre paring gaden (road pricing) eller over en bro
I forhold til anvendelse af teknologier paring en ny maringde er det relevant at se paring om der er tale om innovativ brug
af teknologi eller nye organisatoriske loslashsninger Et eksempel herparing kan vaeligre at kombinere brugen af fingeraftryk
og ansigtsgenkendelse med henblik paring bedre kontrol med feks fysisk adgang til visse omraringder
I forbindelse med brugen af ny teknologi kan det endvidere vaeligre relevant at se paring kategorien af de personop-
lysninger der behandles Hvis der er tale om en behandlingsaktivitet som bruger ny teknologi der skal be-
handle foslashlsomme personoplysninger boslashr der udarbejdes en konsekvensanalyse Et eksempel paring anvendelse
af ny teknologi i denne situation kan vaeligre naringr kunstig intelligens anvendes til at diagnosticere patienter og
efterfoslashlgende anbefale en behandling
7
Brug af ny teknologi er dog ikke et krav Vaeliglger du feks at udskifte din IT-platform uden der er tale om brug
af ny teknologi skal du stadig vurdere om behandlingen medfoslashrer de naeligvnte risici for fysiske personers ret-
tigheder og frihedsrettigheder
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse naringr der sandsynligvis vil vaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstaring som foslashlge af behandling af person-
oplysninger der kan foslashre til fysisk materiel eller immateriel skade Det vil navnlig vaeligre tilfaeligldet hvis
Behandlingen kan give anledning til forskelsbehandling identitetstyveri eller -svig finansielle tab
skade paring omdoslashmme tab af fortrolighed for personoplysninger der er omfattet af tavshedspligt uauto-
riseret ophaeligvelse af pseudonymisering eller andre betydelige oslashkonomiske eller sociale konsekvenser
De registrerede kan blive beroslashvet deres rettigheder og frihedsrettigheder eller forhindret i at udoslashve
kontrol med deres personoplysninger Den registrerede kan vaeligre hindret i at udoslashve en rettighed eller
goslashre brug af en tjeneste eller en kontrakt hvis behandlingsaktiviteterne sigter mod at tillade aeligndre
eller afvise de registreredes adgang til en tjeneste eller kontrakt Det gaeliglder feks hvis en bank scree-
ner sine kunder i forhold til en referencedatabase med henblik paring at beslutte om de skal tilbydes et
laringn
Der behandles personoplysninger der viser race eller etnisk oprindelse politisk religioslashs eller filosofisk
overbevisning fagforeningsmaeligssigt tilhoslashrsforhold og behandling af genetiske data helbredsoplysnin-
ger eller oplysninger om seksuelle forhold eller straffedomme og lovovertraeligdelser eller tilknyttede sik-
kerhedsforanstaltninger
Personlige forhold evalueres navnlig analyse eller forudsigelse af forhold vedroslashrende indsats paring ar-
bejdspladsen oslashkonomisk situation helbred personlige praeligferencer eller interesser paringlidelighed eller
adfaeligrd eller geografisk position eller bevaeliggelser med henblik paring at oprette eller anvende personlige
profiler
Der behandles personoplysninger om saringrbare fysiske personer Behandling af saringdanne oplysninger er
medtaget paring grund af den oslashgede skaeligvhed mellem den registrerede og den dataansvarlige hvilket
Eksempler paring anvendelse af rdquonye teknologierrdquo
Iris-scanning
Kunstig intelligens
Kommunikation med feks det offent-
lige via apps paring mobile enheder
Brug af elektroniske identiteter
ANPG-teknologi som led i opkraeligv-
ning af parkeringsafgifter
8
betyder at enkeltpersoner kan vaeligre ude af stand til paring en nem maringde at give deres samtykke til eller
modsaeligtte sig behandlingen af deres oplysninger eller udoslashve deres rettigheder Saringrbare registrerede
omfatter navnlig boslashrn Det kan endvidere vaeligre mere saringrbare udsnit af befolkningen med behov for
saeligrlig beskyttelse (psykisk syge personer asylansoslashgere mv) Det kan ogsaring vaeligre tilfaeliglde hvor der
kan konstateres ubalance mellem den registreredes og din position som dataansvarlig
Eksempel ndash hvordan kan opgaven (vurdering af risici) gribes an
Naringr du skal vurdere om en risiko er hoslashj kan det vaeligre en hjaeliglp at starte med at identificere hvilke risici der i
det hele taget foreligger ved den paringtaelignkte behandling Det er i den henseende en fordel at du goslashr dig overve-
jelser om hvordan behandlingen skal foretages hvilke midler der skal anvendes samt hvilken kontekst be-
handlingen skal foregaring i
Helt konkret kan det bla vaeligre relevant at du faringr klarlagt foslashlgende
Hvilke systemer skal anvendes til din behandling ndash er det ny teknologi
Hvem ndash og hvor mangei hvor stort omfang ndash skal der behandles oplysninger om (boslashrn psykisk
syge eller andet)
Hvilke oplysninger skal der behandles (foslashlsomme)
Hvordan skal oplysningerne behandles (videregivelse samkoslashring mv)
Hvad er formaringlet med behandlingen
Hvordan fungerer systemet der skal foretage behandlingen (er der nogle indbyggede sikker-
hedsforanstaltninger mv i systemet)
Ovenstaringende er blot angivet som forslag til hvilke sposlashrgsmaringl du kan tage udgangspunk i naringr du skal finde ud
af om du skal udarbejde en konsekvensanalyse Naringr du har taget stilling til ovenstaringende ndash i kombination med
eventuelle flere udredninger af relevans for din organisation ndash kan du tage udgangspunkt heri naringr du skal soslashge
at identificere hvilke og hvor store risici behandlingen udgoslashr for fysiske personers rettigheder og frihedsrettighe-
der (de registrerede)
Du boslashr bestemme risikoens sandsynlighed og alvor under hensyn til behandlingens karakter omfang sammen-
haeligng og formaringl (er der tale om omfattende behandling er det foslashlsomme oplysninger og hvad er formaringlet med
behandlingen) Du skal evaluere risikoen paring baggrund af en objektiv vurdering I forhold til at skulle vurdere om
en identificeret risiko maring anses for at vaeligre hoslashj boslashr du se paring maeligngden af data du behandler og vurdere den i
forhold til den valgte behandlingsaktivitet (feks om der er tale om et stort antal personoplysninger som skal
behandles ved samstilling eller samkoslashring)
Der henvises naeligrmere til afsnit 41ndash43 umiddelbart nedenfor om saeligrligt paringkraeligvede tilfaeliglde hvor en behand-
ling sandsynligvis vil indebaeligre hoslashj risiko
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
3
2 Hvad er en konsekvensanalyse
En konsekvensanalyse vedroslashrende databeskyttelse (data protection impact assessment) er som navnet anty-
der en analyse af paringtaelignkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger
Det er en proces ndash herunder et saeligt af konkrete produkter som skabes ved processen ndash der har til formaringl at
vurderer risici for fysiske personers rettigheder og frihedsrettigheder og fastlaeliggge foranstaltninger til at afhjaeliglpe
disse risici Analysen skal saringledes beskrive hvilken behandling der foretages vurdere behandlingens noslashdven-
dighed og proportionalitet og bidrage til at haringndtere de risici som behandlingen af personoplysninger medfoslashrer
Du har som dataansvarlig alene pligt til at foretage en konsekvensanalyse i de tilfaeliglde hvor der sandsynligvis
er hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder herunder beskyttelse af personoplysninger
Har du konstateret at der sandsynligvis er en hoslashj risiko er det ligeledes dig der har ansvaret for at foretage en
konsekvensanalyse Foretages en behandling af en databehandler skal denne hjaeliglpe dig som dataansvarlig
med at udfoslashre konsekvensanalysen Databehandleren skal endvidere soslashrge for at give dig den noslashdvendige
information for at gennemfoslashre analysen Risikovurderingen angaringr saringledes risici for den registrerede og ikke
organisationens (feks en virksomheds) risici
Det foslashlger endvidere af forordningen at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver hvis du har en
naringr der foretages en konsekvensanalyse
Grundlaeligggende skal du igennem foslashlgende skridt i forbindelse med en konsekvensanalyse vedroslashrende databe-
skyttelse 1) foretage en vurdering af hvorvidt en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder Er dette tilfaeligldet 2) foretager du en konsekvensanalyse
vedroslashrende databeskyttelse med henblik paring 3) at traeligffe passende foranstaltninger til at begraelignse de paringviste
risici ved behandlingen og overholde forordningens krav Er det ikke muligt at begraelignse de paringviste risici ved
passende foranstaltninger saringledes at risikoen fortsat er hoslashj skal du 4) hoslashre Datatilsynet forud for igangsaeligttelse
af den paringtaelignkte behandling
Det er ikke et krav at man offentliggoslashr en konsekvensanalyse vedroslashrende databeskyttelse Det er den dataan-
svarliges beslutning om dette skal ske En offentliggoslashrelse kan dog vaeligre med til at skabe bedre gennemsigtig-
hed Fremfor at offentliggoslashre hele din konsekvensanalyse kan en offentliggoslashrelse bestaring af feks et ledelsesre-
sumeacute
4
5
3 Hvornaringr skal den dataansvarlige foretage
en konsekvensanalyse
Med databeskyttelsesforordningen indfoslashres saringledes et udgangspunkt om at du som dataansvarlig skal gen-
nemfoslashre en konsekvensanalyse naringr en behandling sandsynligvis vil indebaeligre en hoslashj risiko for at den person
der behandles oplysninger om faringr kraelignket sine rettigheder og frihedsrettigheder
En saringdan konsekvensanalyse skal foretages inden du paringbegynder behandlingen jf i oslashvrigt punkt 33 om
eksisterende behandlingsaktiviteter
Det bemaeligrkes i oslashvrigt at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver ndash hvis din organisation har ud-
peget en ndash naringr der foretages en konsekvensanalyse vedroslashrende databeskyttelse
31 Nye teknologier
Naringr du som dataansvarlig skal vurdere om en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
kraelignkelser af en fysisk persons rettigheder og frihedsrettigheder som dermed kraeligver at du foretager en kon-
sekvensanalyse er det navnlig relevant at se paring om behandlingen goslashr brug af nye teknologier herunder ogsaring
anvendelse af teknologier paring en ny maringde At det navnlig er ved anvendelse af nye teknologier skyldes at brug
af ny teknologi kan indebaeligre nye former for dataindsamling og ndash anvendelse eventuelt med en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder De personlige og sociale konsekvenser af ibrugtagningen
af ny teknologi kan vaeligre ukendte (feks for borgernes dagligdag eller privatlivets fred) En konsekvensana-
lyse vil saringledes hjaeliglpe dig med at forstaring og behandle disse risici
Der skal objektivt set vaeligre tale om ny teknologi Hvis du som dataansvarlig har udskiftet din IT-platform bety-
der det ikke at der objektivt set er tale om ny teknologi Du har maringske blot konkret faringet et nyt IT-system som
dog ikke udgoslashr en rdquony teknologirdquo Det er dog vigtigt at vaeligre opmaeligrksom paring at der ndash henset til at det rdquonavnligrdquo
vil vaeligre ved brug af nye teknologier ndash fortsat kan vaeligre behov for at skulle udarbejde en konsekvensanalyse
selvom der ikke konkret er tale om en rdquony teknologirdquo
Hvad siger forordningen
Det fastsaeligttes generelt i databeskyttelsesforordningens artikel 35 stk 1 1
pkt hvornaringr den dataansvarlige skal foretage en konsekvensanalyse
rdquoHvis en type behandling navnlig ved brug af nye teknologier og i medfoslashr af
sin karakter omfang sammenhaeligng og formaringl sandsynligvis vil indebaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder foretager
den dataansvarlige forud for behandlingen en analyse af de paringtaelignkte be-
handlingsaktiviteters konsekvenser for beskyttelse af personoplysningerrdquo
6
Vurderingen af om der er tale om ny teknologi skal i oslashvrigt ske i overensstemmelse med det opnaringede niveau
af teknologisk viden
Eksempel
Som eksempel paring rdquonye teknologierrdquo kan naeligvnes brugen af biometrisk data Biometri er den samlede betegnelse
for en raeligkke teknikker til identifikation og genkendelse af personer ved hjaeliglp af unikke biologiske kendetegn
hos personerne De biometriske teknikker bygger feks paring elektronisk genkendelse af ansigt oslashjne fingre
stemme haelignder vener og gangart Der er ikke noslashdvendigvis tale om ny teknologi blot fordi der anvendes
biometriske oplysninger men biometriske teknikker vil kunne indgaring i ny teknologi ligesom eksisterende biome-
trisk teknologi efter omstaeligndighederne kan blive anset for ny teknologi feks hvis det anvendes paring en ny maringde
Eksempel
Et andet eksempel paring rdquony teknologirdquo er politiets anvendelse af automatisk nummerpladegenkendelse (ANPG)
Systemet ndash der dog ikke er omfattet af databeskyttelsesforordningen men af retsharingndhaeligvelsesdirektivet ndash be-
staringr af en raeligkke stationaeligre kameraer opstillet ved vejstraeligkninger og mobile kameraer fastsat paring feks patrul-
jevogne Kameraerne genkender og laeligser nummerpladerne paring alle biler der passerer Paring baggrund af disse
laeligsninger kan systemet bla alarmere politiet hvis et koslashretoslashj som er registreret paring saeligrlige rdquohot-listerrdquo passerer
et kamera Bogstaver og tal i nummerpladen bliver saringledes automatisk omsat til tekst og slaringet op i en database
og hvis koslashretoslashjet er kendt i de tilkoblede systemer kommer der en besked op paring skaeligrmen i patruljevognen
ANPG-teknologi er endvidere i de senere aringr blevet udbredt i den private sektor feks som led i opkraeligvning af
betaling for parkering i p-huse mv
Eksempel
Et andet eksempel paring rdquony teknologirdquo kan vaeligre det der paring engelsk kaldes Internet of Things (paring dansk Tingenes
Internet) som overordnet daeligkker over det faelignomen at ikke kun mennesker men ogsaring nogetvores ting bliver
brugere af internettet Det kan feks vaeligre at laringseneadgangskontrollen i din organisation registrerer hvilke
medarbejdere der garingr ind og ud og hvornaringr med henblik paring feks at registrere medarbejdernes arbejdstid Det
kan ogsaring taelignkes anvendt med henblik paring at registrere hvornaringr den sidste person har forladt en bygning saring
der feks kan sendes information til tyverialarmen om at blive slaringet til eller til termostaterne i bygning om at blive
slukket Det kan ogsaring kan taelignkes anvendt i forhold til at sende besked til den enkelte medarbejdes computer
om at taelignde naringr medarbejderen moslashder ind
Et andet eksempel paring Internet of Things er intelligente trafiksystemer De kan feks bruges til at opkraeligve penge
for parkering eller for at koslashre paring gaden (road pricing) eller over en bro
I forhold til anvendelse af teknologier paring en ny maringde er det relevant at se paring om der er tale om innovativ brug
af teknologi eller nye organisatoriske loslashsninger Et eksempel herparing kan vaeligre at kombinere brugen af fingeraftryk
og ansigtsgenkendelse med henblik paring bedre kontrol med feks fysisk adgang til visse omraringder
I forbindelse med brugen af ny teknologi kan det endvidere vaeligre relevant at se paring kategorien af de personop-
lysninger der behandles Hvis der er tale om en behandlingsaktivitet som bruger ny teknologi der skal be-
handle foslashlsomme personoplysninger boslashr der udarbejdes en konsekvensanalyse Et eksempel paring anvendelse
af ny teknologi i denne situation kan vaeligre naringr kunstig intelligens anvendes til at diagnosticere patienter og
efterfoslashlgende anbefale en behandling
7
Brug af ny teknologi er dog ikke et krav Vaeliglger du feks at udskifte din IT-platform uden der er tale om brug
af ny teknologi skal du stadig vurdere om behandlingen medfoslashrer de naeligvnte risici for fysiske personers ret-
tigheder og frihedsrettigheder
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse naringr der sandsynligvis vil vaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstaring som foslashlge af behandling af person-
oplysninger der kan foslashre til fysisk materiel eller immateriel skade Det vil navnlig vaeligre tilfaeligldet hvis
Behandlingen kan give anledning til forskelsbehandling identitetstyveri eller -svig finansielle tab
skade paring omdoslashmme tab af fortrolighed for personoplysninger der er omfattet af tavshedspligt uauto-
riseret ophaeligvelse af pseudonymisering eller andre betydelige oslashkonomiske eller sociale konsekvenser
De registrerede kan blive beroslashvet deres rettigheder og frihedsrettigheder eller forhindret i at udoslashve
kontrol med deres personoplysninger Den registrerede kan vaeligre hindret i at udoslashve en rettighed eller
goslashre brug af en tjeneste eller en kontrakt hvis behandlingsaktiviteterne sigter mod at tillade aeligndre
eller afvise de registreredes adgang til en tjeneste eller kontrakt Det gaeliglder feks hvis en bank scree-
ner sine kunder i forhold til en referencedatabase med henblik paring at beslutte om de skal tilbydes et
laringn
Der behandles personoplysninger der viser race eller etnisk oprindelse politisk religioslashs eller filosofisk
overbevisning fagforeningsmaeligssigt tilhoslashrsforhold og behandling af genetiske data helbredsoplysnin-
ger eller oplysninger om seksuelle forhold eller straffedomme og lovovertraeligdelser eller tilknyttede sik-
kerhedsforanstaltninger
Personlige forhold evalueres navnlig analyse eller forudsigelse af forhold vedroslashrende indsats paring ar-
bejdspladsen oslashkonomisk situation helbred personlige praeligferencer eller interesser paringlidelighed eller
adfaeligrd eller geografisk position eller bevaeliggelser med henblik paring at oprette eller anvende personlige
profiler
Der behandles personoplysninger om saringrbare fysiske personer Behandling af saringdanne oplysninger er
medtaget paring grund af den oslashgede skaeligvhed mellem den registrerede og den dataansvarlige hvilket
Eksempler paring anvendelse af rdquonye teknologierrdquo
Iris-scanning
Kunstig intelligens
Kommunikation med feks det offent-
lige via apps paring mobile enheder
Brug af elektroniske identiteter
ANPG-teknologi som led i opkraeligv-
ning af parkeringsafgifter
8
betyder at enkeltpersoner kan vaeligre ude af stand til paring en nem maringde at give deres samtykke til eller
modsaeligtte sig behandlingen af deres oplysninger eller udoslashve deres rettigheder Saringrbare registrerede
omfatter navnlig boslashrn Det kan endvidere vaeligre mere saringrbare udsnit af befolkningen med behov for
saeligrlig beskyttelse (psykisk syge personer asylansoslashgere mv) Det kan ogsaring vaeligre tilfaeliglde hvor der
kan konstateres ubalance mellem den registreredes og din position som dataansvarlig
Eksempel ndash hvordan kan opgaven (vurdering af risici) gribes an
Naringr du skal vurdere om en risiko er hoslashj kan det vaeligre en hjaeliglp at starte med at identificere hvilke risici der i
det hele taget foreligger ved den paringtaelignkte behandling Det er i den henseende en fordel at du goslashr dig overve-
jelser om hvordan behandlingen skal foretages hvilke midler der skal anvendes samt hvilken kontekst be-
handlingen skal foregaring i
Helt konkret kan det bla vaeligre relevant at du faringr klarlagt foslashlgende
Hvilke systemer skal anvendes til din behandling ndash er det ny teknologi
Hvem ndash og hvor mangei hvor stort omfang ndash skal der behandles oplysninger om (boslashrn psykisk
syge eller andet)
Hvilke oplysninger skal der behandles (foslashlsomme)
Hvordan skal oplysningerne behandles (videregivelse samkoslashring mv)
Hvad er formaringlet med behandlingen
Hvordan fungerer systemet der skal foretage behandlingen (er der nogle indbyggede sikker-
hedsforanstaltninger mv i systemet)
Ovenstaringende er blot angivet som forslag til hvilke sposlashrgsmaringl du kan tage udgangspunk i naringr du skal finde ud
af om du skal udarbejde en konsekvensanalyse Naringr du har taget stilling til ovenstaringende ndash i kombination med
eventuelle flere udredninger af relevans for din organisation ndash kan du tage udgangspunkt heri naringr du skal soslashge
at identificere hvilke og hvor store risici behandlingen udgoslashr for fysiske personers rettigheder og frihedsrettighe-
der (de registrerede)
Du boslashr bestemme risikoens sandsynlighed og alvor under hensyn til behandlingens karakter omfang sammen-
haeligng og formaringl (er der tale om omfattende behandling er det foslashlsomme oplysninger og hvad er formaringlet med
behandlingen) Du skal evaluere risikoen paring baggrund af en objektiv vurdering I forhold til at skulle vurdere om
en identificeret risiko maring anses for at vaeligre hoslashj boslashr du se paring maeligngden af data du behandler og vurdere den i
forhold til den valgte behandlingsaktivitet (feks om der er tale om et stort antal personoplysninger som skal
behandles ved samstilling eller samkoslashring)
Der henvises naeligrmere til afsnit 41ndash43 umiddelbart nedenfor om saeligrligt paringkraeligvede tilfaeliglde hvor en behand-
ling sandsynligvis vil indebaeligre hoslashj risiko
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
4
5
3 Hvornaringr skal den dataansvarlige foretage
en konsekvensanalyse
Med databeskyttelsesforordningen indfoslashres saringledes et udgangspunkt om at du som dataansvarlig skal gen-
nemfoslashre en konsekvensanalyse naringr en behandling sandsynligvis vil indebaeligre en hoslashj risiko for at den person
der behandles oplysninger om faringr kraelignket sine rettigheder og frihedsrettigheder
En saringdan konsekvensanalyse skal foretages inden du paringbegynder behandlingen jf i oslashvrigt punkt 33 om
eksisterende behandlingsaktiviteter
Det bemaeligrkes i oslashvrigt at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver ndash hvis din organisation har ud-
peget en ndash naringr der foretages en konsekvensanalyse vedroslashrende databeskyttelse
31 Nye teknologier
Naringr du som dataansvarlig skal vurdere om en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
kraelignkelser af en fysisk persons rettigheder og frihedsrettigheder som dermed kraeligver at du foretager en kon-
sekvensanalyse er det navnlig relevant at se paring om behandlingen goslashr brug af nye teknologier herunder ogsaring
anvendelse af teknologier paring en ny maringde At det navnlig er ved anvendelse af nye teknologier skyldes at brug
af ny teknologi kan indebaeligre nye former for dataindsamling og ndash anvendelse eventuelt med en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder De personlige og sociale konsekvenser af ibrugtagningen
af ny teknologi kan vaeligre ukendte (feks for borgernes dagligdag eller privatlivets fred) En konsekvensana-
lyse vil saringledes hjaeliglpe dig med at forstaring og behandle disse risici
Der skal objektivt set vaeligre tale om ny teknologi Hvis du som dataansvarlig har udskiftet din IT-platform bety-
der det ikke at der objektivt set er tale om ny teknologi Du har maringske blot konkret faringet et nyt IT-system som
dog ikke udgoslashr en rdquony teknologirdquo Det er dog vigtigt at vaeligre opmaeligrksom paring at der ndash henset til at det rdquonavnligrdquo
vil vaeligre ved brug af nye teknologier ndash fortsat kan vaeligre behov for at skulle udarbejde en konsekvensanalyse
selvom der ikke konkret er tale om en rdquony teknologirdquo
Hvad siger forordningen
Det fastsaeligttes generelt i databeskyttelsesforordningens artikel 35 stk 1 1
pkt hvornaringr den dataansvarlige skal foretage en konsekvensanalyse
rdquoHvis en type behandling navnlig ved brug af nye teknologier og i medfoslashr af
sin karakter omfang sammenhaeligng og formaringl sandsynligvis vil indebaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder foretager
den dataansvarlige forud for behandlingen en analyse af de paringtaelignkte be-
handlingsaktiviteters konsekvenser for beskyttelse af personoplysningerrdquo
6
Vurderingen af om der er tale om ny teknologi skal i oslashvrigt ske i overensstemmelse med det opnaringede niveau
af teknologisk viden
Eksempel
Som eksempel paring rdquonye teknologierrdquo kan naeligvnes brugen af biometrisk data Biometri er den samlede betegnelse
for en raeligkke teknikker til identifikation og genkendelse af personer ved hjaeliglp af unikke biologiske kendetegn
hos personerne De biometriske teknikker bygger feks paring elektronisk genkendelse af ansigt oslashjne fingre
stemme haelignder vener og gangart Der er ikke noslashdvendigvis tale om ny teknologi blot fordi der anvendes
biometriske oplysninger men biometriske teknikker vil kunne indgaring i ny teknologi ligesom eksisterende biome-
trisk teknologi efter omstaeligndighederne kan blive anset for ny teknologi feks hvis det anvendes paring en ny maringde
Eksempel
Et andet eksempel paring rdquony teknologirdquo er politiets anvendelse af automatisk nummerpladegenkendelse (ANPG)
Systemet ndash der dog ikke er omfattet af databeskyttelsesforordningen men af retsharingndhaeligvelsesdirektivet ndash be-
staringr af en raeligkke stationaeligre kameraer opstillet ved vejstraeligkninger og mobile kameraer fastsat paring feks patrul-
jevogne Kameraerne genkender og laeligser nummerpladerne paring alle biler der passerer Paring baggrund af disse
laeligsninger kan systemet bla alarmere politiet hvis et koslashretoslashj som er registreret paring saeligrlige rdquohot-listerrdquo passerer
et kamera Bogstaver og tal i nummerpladen bliver saringledes automatisk omsat til tekst og slaringet op i en database
og hvis koslashretoslashjet er kendt i de tilkoblede systemer kommer der en besked op paring skaeligrmen i patruljevognen
ANPG-teknologi er endvidere i de senere aringr blevet udbredt i den private sektor feks som led i opkraeligvning af
betaling for parkering i p-huse mv
Eksempel
Et andet eksempel paring rdquony teknologirdquo kan vaeligre det der paring engelsk kaldes Internet of Things (paring dansk Tingenes
Internet) som overordnet daeligkker over det faelignomen at ikke kun mennesker men ogsaring nogetvores ting bliver
brugere af internettet Det kan feks vaeligre at laringseneadgangskontrollen i din organisation registrerer hvilke
medarbejdere der garingr ind og ud og hvornaringr med henblik paring feks at registrere medarbejdernes arbejdstid Det
kan ogsaring taelignkes anvendt med henblik paring at registrere hvornaringr den sidste person har forladt en bygning saring
der feks kan sendes information til tyverialarmen om at blive slaringet til eller til termostaterne i bygning om at blive
slukket Det kan ogsaring kan taelignkes anvendt i forhold til at sende besked til den enkelte medarbejdes computer
om at taelignde naringr medarbejderen moslashder ind
Et andet eksempel paring Internet of Things er intelligente trafiksystemer De kan feks bruges til at opkraeligve penge
for parkering eller for at koslashre paring gaden (road pricing) eller over en bro
I forhold til anvendelse af teknologier paring en ny maringde er det relevant at se paring om der er tale om innovativ brug
af teknologi eller nye organisatoriske loslashsninger Et eksempel herparing kan vaeligre at kombinere brugen af fingeraftryk
og ansigtsgenkendelse med henblik paring bedre kontrol med feks fysisk adgang til visse omraringder
I forbindelse med brugen af ny teknologi kan det endvidere vaeligre relevant at se paring kategorien af de personop-
lysninger der behandles Hvis der er tale om en behandlingsaktivitet som bruger ny teknologi der skal be-
handle foslashlsomme personoplysninger boslashr der udarbejdes en konsekvensanalyse Et eksempel paring anvendelse
af ny teknologi i denne situation kan vaeligre naringr kunstig intelligens anvendes til at diagnosticere patienter og
efterfoslashlgende anbefale en behandling
7
Brug af ny teknologi er dog ikke et krav Vaeliglger du feks at udskifte din IT-platform uden der er tale om brug
af ny teknologi skal du stadig vurdere om behandlingen medfoslashrer de naeligvnte risici for fysiske personers ret-
tigheder og frihedsrettigheder
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse naringr der sandsynligvis vil vaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstaring som foslashlge af behandling af person-
oplysninger der kan foslashre til fysisk materiel eller immateriel skade Det vil navnlig vaeligre tilfaeligldet hvis
Behandlingen kan give anledning til forskelsbehandling identitetstyveri eller -svig finansielle tab
skade paring omdoslashmme tab af fortrolighed for personoplysninger der er omfattet af tavshedspligt uauto-
riseret ophaeligvelse af pseudonymisering eller andre betydelige oslashkonomiske eller sociale konsekvenser
De registrerede kan blive beroslashvet deres rettigheder og frihedsrettigheder eller forhindret i at udoslashve
kontrol med deres personoplysninger Den registrerede kan vaeligre hindret i at udoslashve en rettighed eller
goslashre brug af en tjeneste eller en kontrakt hvis behandlingsaktiviteterne sigter mod at tillade aeligndre
eller afvise de registreredes adgang til en tjeneste eller kontrakt Det gaeliglder feks hvis en bank scree-
ner sine kunder i forhold til en referencedatabase med henblik paring at beslutte om de skal tilbydes et
laringn
Der behandles personoplysninger der viser race eller etnisk oprindelse politisk religioslashs eller filosofisk
overbevisning fagforeningsmaeligssigt tilhoslashrsforhold og behandling af genetiske data helbredsoplysnin-
ger eller oplysninger om seksuelle forhold eller straffedomme og lovovertraeligdelser eller tilknyttede sik-
kerhedsforanstaltninger
Personlige forhold evalueres navnlig analyse eller forudsigelse af forhold vedroslashrende indsats paring ar-
bejdspladsen oslashkonomisk situation helbred personlige praeligferencer eller interesser paringlidelighed eller
adfaeligrd eller geografisk position eller bevaeliggelser med henblik paring at oprette eller anvende personlige
profiler
Der behandles personoplysninger om saringrbare fysiske personer Behandling af saringdanne oplysninger er
medtaget paring grund af den oslashgede skaeligvhed mellem den registrerede og den dataansvarlige hvilket
Eksempler paring anvendelse af rdquonye teknologierrdquo
Iris-scanning
Kunstig intelligens
Kommunikation med feks det offent-
lige via apps paring mobile enheder
Brug af elektroniske identiteter
ANPG-teknologi som led i opkraeligv-
ning af parkeringsafgifter
8
betyder at enkeltpersoner kan vaeligre ude af stand til paring en nem maringde at give deres samtykke til eller
modsaeligtte sig behandlingen af deres oplysninger eller udoslashve deres rettigheder Saringrbare registrerede
omfatter navnlig boslashrn Det kan endvidere vaeligre mere saringrbare udsnit af befolkningen med behov for
saeligrlig beskyttelse (psykisk syge personer asylansoslashgere mv) Det kan ogsaring vaeligre tilfaeliglde hvor der
kan konstateres ubalance mellem den registreredes og din position som dataansvarlig
Eksempel ndash hvordan kan opgaven (vurdering af risici) gribes an
Naringr du skal vurdere om en risiko er hoslashj kan det vaeligre en hjaeliglp at starte med at identificere hvilke risici der i
det hele taget foreligger ved den paringtaelignkte behandling Det er i den henseende en fordel at du goslashr dig overve-
jelser om hvordan behandlingen skal foretages hvilke midler der skal anvendes samt hvilken kontekst be-
handlingen skal foregaring i
Helt konkret kan det bla vaeligre relevant at du faringr klarlagt foslashlgende
Hvilke systemer skal anvendes til din behandling ndash er det ny teknologi
Hvem ndash og hvor mangei hvor stort omfang ndash skal der behandles oplysninger om (boslashrn psykisk
syge eller andet)
Hvilke oplysninger skal der behandles (foslashlsomme)
Hvordan skal oplysningerne behandles (videregivelse samkoslashring mv)
Hvad er formaringlet med behandlingen
Hvordan fungerer systemet der skal foretage behandlingen (er der nogle indbyggede sikker-
hedsforanstaltninger mv i systemet)
Ovenstaringende er blot angivet som forslag til hvilke sposlashrgsmaringl du kan tage udgangspunk i naringr du skal finde ud
af om du skal udarbejde en konsekvensanalyse Naringr du har taget stilling til ovenstaringende ndash i kombination med
eventuelle flere udredninger af relevans for din organisation ndash kan du tage udgangspunkt heri naringr du skal soslashge
at identificere hvilke og hvor store risici behandlingen udgoslashr for fysiske personers rettigheder og frihedsrettighe-
der (de registrerede)
Du boslashr bestemme risikoens sandsynlighed og alvor under hensyn til behandlingens karakter omfang sammen-
haeligng og formaringl (er der tale om omfattende behandling er det foslashlsomme oplysninger og hvad er formaringlet med
behandlingen) Du skal evaluere risikoen paring baggrund af en objektiv vurdering I forhold til at skulle vurdere om
en identificeret risiko maring anses for at vaeligre hoslashj boslashr du se paring maeligngden af data du behandler og vurdere den i
forhold til den valgte behandlingsaktivitet (feks om der er tale om et stort antal personoplysninger som skal
behandles ved samstilling eller samkoslashring)
Der henvises naeligrmere til afsnit 41ndash43 umiddelbart nedenfor om saeligrligt paringkraeligvede tilfaeliglde hvor en behand-
ling sandsynligvis vil indebaeligre hoslashj risiko
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
5
3 Hvornaringr skal den dataansvarlige foretage
en konsekvensanalyse
Med databeskyttelsesforordningen indfoslashres saringledes et udgangspunkt om at du som dataansvarlig skal gen-
nemfoslashre en konsekvensanalyse naringr en behandling sandsynligvis vil indebaeligre en hoslashj risiko for at den person
der behandles oplysninger om faringr kraelignket sine rettigheder og frihedsrettigheder
En saringdan konsekvensanalyse skal foretages inden du paringbegynder behandlingen jf i oslashvrigt punkt 33 om
eksisterende behandlingsaktiviteter
Det bemaeligrkes i oslashvrigt at du skal raringdfoslashre dig med din databeskyttelsesraringdgiver ndash hvis din organisation har ud-
peget en ndash naringr der foretages en konsekvensanalyse vedroslashrende databeskyttelse
31 Nye teknologier
Naringr du som dataansvarlig skal vurdere om en type behandling sandsynligvis vil medfoslashre en hoslashj risiko for
kraelignkelser af en fysisk persons rettigheder og frihedsrettigheder som dermed kraeligver at du foretager en kon-
sekvensanalyse er det navnlig relevant at se paring om behandlingen goslashr brug af nye teknologier herunder ogsaring
anvendelse af teknologier paring en ny maringde At det navnlig er ved anvendelse af nye teknologier skyldes at brug
af ny teknologi kan indebaeligre nye former for dataindsamling og ndash anvendelse eventuelt med en hoslashj risiko for
fysiske personers rettigheder og frihedsrettigheder De personlige og sociale konsekvenser af ibrugtagningen
af ny teknologi kan vaeligre ukendte (feks for borgernes dagligdag eller privatlivets fred) En konsekvensana-
lyse vil saringledes hjaeliglpe dig med at forstaring og behandle disse risici
Der skal objektivt set vaeligre tale om ny teknologi Hvis du som dataansvarlig har udskiftet din IT-platform bety-
der det ikke at der objektivt set er tale om ny teknologi Du har maringske blot konkret faringet et nyt IT-system som
dog ikke udgoslashr en rdquony teknologirdquo Det er dog vigtigt at vaeligre opmaeligrksom paring at der ndash henset til at det rdquonavnligrdquo
vil vaeligre ved brug af nye teknologier ndash fortsat kan vaeligre behov for at skulle udarbejde en konsekvensanalyse
selvom der ikke konkret er tale om en rdquony teknologirdquo
Hvad siger forordningen
Det fastsaeligttes generelt i databeskyttelsesforordningens artikel 35 stk 1 1
pkt hvornaringr den dataansvarlige skal foretage en konsekvensanalyse
rdquoHvis en type behandling navnlig ved brug af nye teknologier og i medfoslashr af
sin karakter omfang sammenhaeligng og formaringl sandsynligvis vil indebaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder foretager
den dataansvarlige forud for behandlingen en analyse af de paringtaelignkte be-
handlingsaktiviteters konsekvenser for beskyttelse af personoplysningerrdquo
6
Vurderingen af om der er tale om ny teknologi skal i oslashvrigt ske i overensstemmelse med det opnaringede niveau
af teknologisk viden
Eksempel
Som eksempel paring rdquonye teknologierrdquo kan naeligvnes brugen af biometrisk data Biometri er den samlede betegnelse
for en raeligkke teknikker til identifikation og genkendelse af personer ved hjaeliglp af unikke biologiske kendetegn
hos personerne De biometriske teknikker bygger feks paring elektronisk genkendelse af ansigt oslashjne fingre
stemme haelignder vener og gangart Der er ikke noslashdvendigvis tale om ny teknologi blot fordi der anvendes
biometriske oplysninger men biometriske teknikker vil kunne indgaring i ny teknologi ligesom eksisterende biome-
trisk teknologi efter omstaeligndighederne kan blive anset for ny teknologi feks hvis det anvendes paring en ny maringde
Eksempel
Et andet eksempel paring rdquony teknologirdquo er politiets anvendelse af automatisk nummerpladegenkendelse (ANPG)
Systemet ndash der dog ikke er omfattet af databeskyttelsesforordningen men af retsharingndhaeligvelsesdirektivet ndash be-
staringr af en raeligkke stationaeligre kameraer opstillet ved vejstraeligkninger og mobile kameraer fastsat paring feks patrul-
jevogne Kameraerne genkender og laeligser nummerpladerne paring alle biler der passerer Paring baggrund af disse
laeligsninger kan systemet bla alarmere politiet hvis et koslashretoslashj som er registreret paring saeligrlige rdquohot-listerrdquo passerer
et kamera Bogstaver og tal i nummerpladen bliver saringledes automatisk omsat til tekst og slaringet op i en database
og hvis koslashretoslashjet er kendt i de tilkoblede systemer kommer der en besked op paring skaeligrmen i patruljevognen
ANPG-teknologi er endvidere i de senere aringr blevet udbredt i den private sektor feks som led i opkraeligvning af
betaling for parkering i p-huse mv
Eksempel
Et andet eksempel paring rdquony teknologirdquo kan vaeligre det der paring engelsk kaldes Internet of Things (paring dansk Tingenes
Internet) som overordnet daeligkker over det faelignomen at ikke kun mennesker men ogsaring nogetvores ting bliver
brugere af internettet Det kan feks vaeligre at laringseneadgangskontrollen i din organisation registrerer hvilke
medarbejdere der garingr ind og ud og hvornaringr med henblik paring feks at registrere medarbejdernes arbejdstid Det
kan ogsaring taelignkes anvendt med henblik paring at registrere hvornaringr den sidste person har forladt en bygning saring
der feks kan sendes information til tyverialarmen om at blive slaringet til eller til termostaterne i bygning om at blive
slukket Det kan ogsaring kan taelignkes anvendt i forhold til at sende besked til den enkelte medarbejdes computer
om at taelignde naringr medarbejderen moslashder ind
Et andet eksempel paring Internet of Things er intelligente trafiksystemer De kan feks bruges til at opkraeligve penge
for parkering eller for at koslashre paring gaden (road pricing) eller over en bro
I forhold til anvendelse af teknologier paring en ny maringde er det relevant at se paring om der er tale om innovativ brug
af teknologi eller nye organisatoriske loslashsninger Et eksempel herparing kan vaeligre at kombinere brugen af fingeraftryk
og ansigtsgenkendelse med henblik paring bedre kontrol med feks fysisk adgang til visse omraringder
I forbindelse med brugen af ny teknologi kan det endvidere vaeligre relevant at se paring kategorien af de personop-
lysninger der behandles Hvis der er tale om en behandlingsaktivitet som bruger ny teknologi der skal be-
handle foslashlsomme personoplysninger boslashr der udarbejdes en konsekvensanalyse Et eksempel paring anvendelse
af ny teknologi i denne situation kan vaeligre naringr kunstig intelligens anvendes til at diagnosticere patienter og
efterfoslashlgende anbefale en behandling
7
Brug af ny teknologi er dog ikke et krav Vaeliglger du feks at udskifte din IT-platform uden der er tale om brug
af ny teknologi skal du stadig vurdere om behandlingen medfoslashrer de naeligvnte risici for fysiske personers ret-
tigheder og frihedsrettigheder
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse naringr der sandsynligvis vil vaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstaring som foslashlge af behandling af person-
oplysninger der kan foslashre til fysisk materiel eller immateriel skade Det vil navnlig vaeligre tilfaeligldet hvis
Behandlingen kan give anledning til forskelsbehandling identitetstyveri eller -svig finansielle tab
skade paring omdoslashmme tab af fortrolighed for personoplysninger der er omfattet af tavshedspligt uauto-
riseret ophaeligvelse af pseudonymisering eller andre betydelige oslashkonomiske eller sociale konsekvenser
De registrerede kan blive beroslashvet deres rettigheder og frihedsrettigheder eller forhindret i at udoslashve
kontrol med deres personoplysninger Den registrerede kan vaeligre hindret i at udoslashve en rettighed eller
goslashre brug af en tjeneste eller en kontrakt hvis behandlingsaktiviteterne sigter mod at tillade aeligndre
eller afvise de registreredes adgang til en tjeneste eller kontrakt Det gaeliglder feks hvis en bank scree-
ner sine kunder i forhold til en referencedatabase med henblik paring at beslutte om de skal tilbydes et
laringn
Der behandles personoplysninger der viser race eller etnisk oprindelse politisk religioslashs eller filosofisk
overbevisning fagforeningsmaeligssigt tilhoslashrsforhold og behandling af genetiske data helbredsoplysnin-
ger eller oplysninger om seksuelle forhold eller straffedomme og lovovertraeligdelser eller tilknyttede sik-
kerhedsforanstaltninger
Personlige forhold evalueres navnlig analyse eller forudsigelse af forhold vedroslashrende indsats paring ar-
bejdspladsen oslashkonomisk situation helbred personlige praeligferencer eller interesser paringlidelighed eller
adfaeligrd eller geografisk position eller bevaeliggelser med henblik paring at oprette eller anvende personlige
profiler
Der behandles personoplysninger om saringrbare fysiske personer Behandling af saringdanne oplysninger er
medtaget paring grund af den oslashgede skaeligvhed mellem den registrerede og den dataansvarlige hvilket
Eksempler paring anvendelse af rdquonye teknologierrdquo
Iris-scanning
Kunstig intelligens
Kommunikation med feks det offent-
lige via apps paring mobile enheder
Brug af elektroniske identiteter
ANPG-teknologi som led i opkraeligv-
ning af parkeringsafgifter
8
betyder at enkeltpersoner kan vaeligre ude af stand til paring en nem maringde at give deres samtykke til eller
modsaeligtte sig behandlingen af deres oplysninger eller udoslashve deres rettigheder Saringrbare registrerede
omfatter navnlig boslashrn Det kan endvidere vaeligre mere saringrbare udsnit af befolkningen med behov for
saeligrlig beskyttelse (psykisk syge personer asylansoslashgere mv) Det kan ogsaring vaeligre tilfaeliglde hvor der
kan konstateres ubalance mellem den registreredes og din position som dataansvarlig
Eksempel ndash hvordan kan opgaven (vurdering af risici) gribes an
Naringr du skal vurdere om en risiko er hoslashj kan det vaeligre en hjaeliglp at starte med at identificere hvilke risici der i
det hele taget foreligger ved den paringtaelignkte behandling Det er i den henseende en fordel at du goslashr dig overve-
jelser om hvordan behandlingen skal foretages hvilke midler der skal anvendes samt hvilken kontekst be-
handlingen skal foregaring i
Helt konkret kan det bla vaeligre relevant at du faringr klarlagt foslashlgende
Hvilke systemer skal anvendes til din behandling ndash er det ny teknologi
Hvem ndash og hvor mangei hvor stort omfang ndash skal der behandles oplysninger om (boslashrn psykisk
syge eller andet)
Hvilke oplysninger skal der behandles (foslashlsomme)
Hvordan skal oplysningerne behandles (videregivelse samkoslashring mv)
Hvad er formaringlet med behandlingen
Hvordan fungerer systemet der skal foretage behandlingen (er der nogle indbyggede sikker-
hedsforanstaltninger mv i systemet)
Ovenstaringende er blot angivet som forslag til hvilke sposlashrgsmaringl du kan tage udgangspunk i naringr du skal finde ud
af om du skal udarbejde en konsekvensanalyse Naringr du har taget stilling til ovenstaringende ndash i kombination med
eventuelle flere udredninger af relevans for din organisation ndash kan du tage udgangspunkt heri naringr du skal soslashge
at identificere hvilke og hvor store risici behandlingen udgoslashr for fysiske personers rettigheder og frihedsrettighe-
der (de registrerede)
Du boslashr bestemme risikoens sandsynlighed og alvor under hensyn til behandlingens karakter omfang sammen-
haeligng og formaringl (er der tale om omfattende behandling er det foslashlsomme oplysninger og hvad er formaringlet med
behandlingen) Du skal evaluere risikoen paring baggrund af en objektiv vurdering I forhold til at skulle vurdere om
en identificeret risiko maring anses for at vaeligre hoslashj boslashr du se paring maeligngden af data du behandler og vurdere den i
forhold til den valgte behandlingsaktivitet (feks om der er tale om et stort antal personoplysninger som skal
behandles ved samstilling eller samkoslashring)
Der henvises naeligrmere til afsnit 41ndash43 umiddelbart nedenfor om saeligrligt paringkraeligvede tilfaeliglde hvor en behand-
ling sandsynligvis vil indebaeligre hoslashj risiko
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
6
Vurderingen af om der er tale om ny teknologi skal i oslashvrigt ske i overensstemmelse med det opnaringede niveau
af teknologisk viden
Eksempel
Som eksempel paring rdquonye teknologierrdquo kan naeligvnes brugen af biometrisk data Biometri er den samlede betegnelse
for en raeligkke teknikker til identifikation og genkendelse af personer ved hjaeliglp af unikke biologiske kendetegn
hos personerne De biometriske teknikker bygger feks paring elektronisk genkendelse af ansigt oslashjne fingre
stemme haelignder vener og gangart Der er ikke noslashdvendigvis tale om ny teknologi blot fordi der anvendes
biometriske oplysninger men biometriske teknikker vil kunne indgaring i ny teknologi ligesom eksisterende biome-
trisk teknologi efter omstaeligndighederne kan blive anset for ny teknologi feks hvis det anvendes paring en ny maringde
Eksempel
Et andet eksempel paring rdquony teknologirdquo er politiets anvendelse af automatisk nummerpladegenkendelse (ANPG)
Systemet ndash der dog ikke er omfattet af databeskyttelsesforordningen men af retsharingndhaeligvelsesdirektivet ndash be-
staringr af en raeligkke stationaeligre kameraer opstillet ved vejstraeligkninger og mobile kameraer fastsat paring feks patrul-
jevogne Kameraerne genkender og laeligser nummerpladerne paring alle biler der passerer Paring baggrund af disse
laeligsninger kan systemet bla alarmere politiet hvis et koslashretoslashj som er registreret paring saeligrlige rdquohot-listerrdquo passerer
et kamera Bogstaver og tal i nummerpladen bliver saringledes automatisk omsat til tekst og slaringet op i en database
og hvis koslashretoslashjet er kendt i de tilkoblede systemer kommer der en besked op paring skaeligrmen i patruljevognen
ANPG-teknologi er endvidere i de senere aringr blevet udbredt i den private sektor feks som led i opkraeligvning af
betaling for parkering i p-huse mv
Eksempel
Et andet eksempel paring rdquony teknologirdquo kan vaeligre det der paring engelsk kaldes Internet of Things (paring dansk Tingenes
Internet) som overordnet daeligkker over det faelignomen at ikke kun mennesker men ogsaring nogetvores ting bliver
brugere af internettet Det kan feks vaeligre at laringseneadgangskontrollen i din organisation registrerer hvilke
medarbejdere der garingr ind og ud og hvornaringr med henblik paring feks at registrere medarbejdernes arbejdstid Det
kan ogsaring taelignkes anvendt med henblik paring at registrere hvornaringr den sidste person har forladt en bygning saring
der feks kan sendes information til tyverialarmen om at blive slaringet til eller til termostaterne i bygning om at blive
slukket Det kan ogsaring kan taelignkes anvendt i forhold til at sende besked til den enkelte medarbejdes computer
om at taelignde naringr medarbejderen moslashder ind
Et andet eksempel paring Internet of Things er intelligente trafiksystemer De kan feks bruges til at opkraeligve penge
for parkering eller for at koslashre paring gaden (road pricing) eller over en bro
I forhold til anvendelse af teknologier paring en ny maringde er det relevant at se paring om der er tale om innovativ brug
af teknologi eller nye organisatoriske loslashsninger Et eksempel herparing kan vaeligre at kombinere brugen af fingeraftryk
og ansigtsgenkendelse med henblik paring bedre kontrol med feks fysisk adgang til visse omraringder
I forbindelse med brugen af ny teknologi kan det endvidere vaeligre relevant at se paring kategorien af de personop-
lysninger der behandles Hvis der er tale om en behandlingsaktivitet som bruger ny teknologi der skal be-
handle foslashlsomme personoplysninger boslashr der udarbejdes en konsekvensanalyse Et eksempel paring anvendelse
af ny teknologi i denne situation kan vaeligre naringr kunstig intelligens anvendes til at diagnosticere patienter og
efterfoslashlgende anbefale en behandling
7
Brug af ny teknologi er dog ikke et krav Vaeliglger du feks at udskifte din IT-platform uden der er tale om brug
af ny teknologi skal du stadig vurdere om behandlingen medfoslashrer de naeligvnte risici for fysiske personers ret-
tigheder og frihedsrettigheder
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse naringr der sandsynligvis vil vaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstaring som foslashlge af behandling af person-
oplysninger der kan foslashre til fysisk materiel eller immateriel skade Det vil navnlig vaeligre tilfaeligldet hvis
Behandlingen kan give anledning til forskelsbehandling identitetstyveri eller -svig finansielle tab
skade paring omdoslashmme tab af fortrolighed for personoplysninger der er omfattet af tavshedspligt uauto-
riseret ophaeligvelse af pseudonymisering eller andre betydelige oslashkonomiske eller sociale konsekvenser
De registrerede kan blive beroslashvet deres rettigheder og frihedsrettigheder eller forhindret i at udoslashve
kontrol med deres personoplysninger Den registrerede kan vaeligre hindret i at udoslashve en rettighed eller
goslashre brug af en tjeneste eller en kontrakt hvis behandlingsaktiviteterne sigter mod at tillade aeligndre
eller afvise de registreredes adgang til en tjeneste eller kontrakt Det gaeliglder feks hvis en bank scree-
ner sine kunder i forhold til en referencedatabase med henblik paring at beslutte om de skal tilbydes et
laringn
Der behandles personoplysninger der viser race eller etnisk oprindelse politisk religioslashs eller filosofisk
overbevisning fagforeningsmaeligssigt tilhoslashrsforhold og behandling af genetiske data helbredsoplysnin-
ger eller oplysninger om seksuelle forhold eller straffedomme og lovovertraeligdelser eller tilknyttede sik-
kerhedsforanstaltninger
Personlige forhold evalueres navnlig analyse eller forudsigelse af forhold vedroslashrende indsats paring ar-
bejdspladsen oslashkonomisk situation helbred personlige praeligferencer eller interesser paringlidelighed eller
adfaeligrd eller geografisk position eller bevaeliggelser med henblik paring at oprette eller anvende personlige
profiler
Der behandles personoplysninger om saringrbare fysiske personer Behandling af saringdanne oplysninger er
medtaget paring grund af den oslashgede skaeligvhed mellem den registrerede og den dataansvarlige hvilket
Eksempler paring anvendelse af rdquonye teknologierrdquo
Iris-scanning
Kunstig intelligens
Kommunikation med feks det offent-
lige via apps paring mobile enheder
Brug af elektroniske identiteter
ANPG-teknologi som led i opkraeligv-
ning af parkeringsafgifter
8
betyder at enkeltpersoner kan vaeligre ude af stand til paring en nem maringde at give deres samtykke til eller
modsaeligtte sig behandlingen af deres oplysninger eller udoslashve deres rettigheder Saringrbare registrerede
omfatter navnlig boslashrn Det kan endvidere vaeligre mere saringrbare udsnit af befolkningen med behov for
saeligrlig beskyttelse (psykisk syge personer asylansoslashgere mv) Det kan ogsaring vaeligre tilfaeliglde hvor der
kan konstateres ubalance mellem den registreredes og din position som dataansvarlig
Eksempel ndash hvordan kan opgaven (vurdering af risici) gribes an
Naringr du skal vurdere om en risiko er hoslashj kan det vaeligre en hjaeliglp at starte med at identificere hvilke risici der i
det hele taget foreligger ved den paringtaelignkte behandling Det er i den henseende en fordel at du goslashr dig overve-
jelser om hvordan behandlingen skal foretages hvilke midler der skal anvendes samt hvilken kontekst be-
handlingen skal foregaring i
Helt konkret kan det bla vaeligre relevant at du faringr klarlagt foslashlgende
Hvilke systemer skal anvendes til din behandling ndash er det ny teknologi
Hvem ndash og hvor mangei hvor stort omfang ndash skal der behandles oplysninger om (boslashrn psykisk
syge eller andet)
Hvilke oplysninger skal der behandles (foslashlsomme)
Hvordan skal oplysningerne behandles (videregivelse samkoslashring mv)
Hvad er formaringlet med behandlingen
Hvordan fungerer systemet der skal foretage behandlingen (er der nogle indbyggede sikker-
hedsforanstaltninger mv i systemet)
Ovenstaringende er blot angivet som forslag til hvilke sposlashrgsmaringl du kan tage udgangspunk i naringr du skal finde ud
af om du skal udarbejde en konsekvensanalyse Naringr du har taget stilling til ovenstaringende ndash i kombination med
eventuelle flere udredninger af relevans for din organisation ndash kan du tage udgangspunkt heri naringr du skal soslashge
at identificere hvilke og hvor store risici behandlingen udgoslashr for fysiske personers rettigheder og frihedsrettighe-
der (de registrerede)
Du boslashr bestemme risikoens sandsynlighed og alvor under hensyn til behandlingens karakter omfang sammen-
haeligng og formaringl (er der tale om omfattende behandling er det foslashlsomme oplysninger og hvad er formaringlet med
behandlingen) Du skal evaluere risikoen paring baggrund af en objektiv vurdering I forhold til at skulle vurdere om
en identificeret risiko maring anses for at vaeligre hoslashj boslashr du se paring maeligngden af data du behandler og vurdere den i
forhold til den valgte behandlingsaktivitet (feks om der er tale om et stort antal personoplysninger som skal
behandles ved samstilling eller samkoslashring)
Der henvises naeligrmere til afsnit 41ndash43 umiddelbart nedenfor om saeligrligt paringkraeligvede tilfaeliglde hvor en behand-
ling sandsynligvis vil indebaeligre hoslashj risiko
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
7
Brug af ny teknologi er dog ikke et krav Vaeliglger du feks at udskifte din IT-platform uden der er tale om brug
af ny teknologi skal du stadig vurdere om behandlingen medfoslashrer de naeligvnte risici for fysiske personers ret-
tigheder og frihedsrettigheder
32 Hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Du har som dataansvarlig alene en pligt til at foretage en konsekvensanalyse naringr der sandsynligvis vil vaeligre en
hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
Risiciene for fysiske personers rettigheder og frihedsrettigheder kan opstaring som foslashlge af behandling af person-
oplysninger der kan foslashre til fysisk materiel eller immateriel skade Det vil navnlig vaeligre tilfaeligldet hvis
Behandlingen kan give anledning til forskelsbehandling identitetstyveri eller -svig finansielle tab
skade paring omdoslashmme tab af fortrolighed for personoplysninger der er omfattet af tavshedspligt uauto-
riseret ophaeligvelse af pseudonymisering eller andre betydelige oslashkonomiske eller sociale konsekvenser
De registrerede kan blive beroslashvet deres rettigheder og frihedsrettigheder eller forhindret i at udoslashve
kontrol med deres personoplysninger Den registrerede kan vaeligre hindret i at udoslashve en rettighed eller
goslashre brug af en tjeneste eller en kontrakt hvis behandlingsaktiviteterne sigter mod at tillade aeligndre
eller afvise de registreredes adgang til en tjeneste eller kontrakt Det gaeliglder feks hvis en bank scree-
ner sine kunder i forhold til en referencedatabase med henblik paring at beslutte om de skal tilbydes et
laringn
Der behandles personoplysninger der viser race eller etnisk oprindelse politisk religioslashs eller filosofisk
overbevisning fagforeningsmaeligssigt tilhoslashrsforhold og behandling af genetiske data helbredsoplysnin-
ger eller oplysninger om seksuelle forhold eller straffedomme og lovovertraeligdelser eller tilknyttede sik-
kerhedsforanstaltninger
Personlige forhold evalueres navnlig analyse eller forudsigelse af forhold vedroslashrende indsats paring ar-
bejdspladsen oslashkonomisk situation helbred personlige praeligferencer eller interesser paringlidelighed eller
adfaeligrd eller geografisk position eller bevaeliggelser med henblik paring at oprette eller anvende personlige
profiler
Der behandles personoplysninger om saringrbare fysiske personer Behandling af saringdanne oplysninger er
medtaget paring grund af den oslashgede skaeligvhed mellem den registrerede og den dataansvarlige hvilket
Eksempler paring anvendelse af rdquonye teknologierrdquo
Iris-scanning
Kunstig intelligens
Kommunikation med feks det offent-
lige via apps paring mobile enheder
Brug af elektroniske identiteter
ANPG-teknologi som led i opkraeligv-
ning af parkeringsafgifter
8
betyder at enkeltpersoner kan vaeligre ude af stand til paring en nem maringde at give deres samtykke til eller
modsaeligtte sig behandlingen af deres oplysninger eller udoslashve deres rettigheder Saringrbare registrerede
omfatter navnlig boslashrn Det kan endvidere vaeligre mere saringrbare udsnit af befolkningen med behov for
saeligrlig beskyttelse (psykisk syge personer asylansoslashgere mv) Det kan ogsaring vaeligre tilfaeliglde hvor der
kan konstateres ubalance mellem den registreredes og din position som dataansvarlig
Eksempel ndash hvordan kan opgaven (vurdering af risici) gribes an
Naringr du skal vurdere om en risiko er hoslashj kan det vaeligre en hjaeliglp at starte med at identificere hvilke risici der i
det hele taget foreligger ved den paringtaelignkte behandling Det er i den henseende en fordel at du goslashr dig overve-
jelser om hvordan behandlingen skal foretages hvilke midler der skal anvendes samt hvilken kontekst be-
handlingen skal foregaring i
Helt konkret kan det bla vaeligre relevant at du faringr klarlagt foslashlgende
Hvilke systemer skal anvendes til din behandling ndash er det ny teknologi
Hvem ndash og hvor mangei hvor stort omfang ndash skal der behandles oplysninger om (boslashrn psykisk
syge eller andet)
Hvilke oplysninger skal der behandles (foslashlsomme)
Hvordan skal oplysningerne behandles (videregivelse samkoslashring mv)
Hvad er formaringlet med behandlingen
Hvordan fungerer systemet der skal foretage behandlingen (er der nogle indbyggede sikker-
hedsforanstaltninger mv i systemet)
Ovenstaringende er blot angivet som forslag til hvilke sposlashrgsmaringl du kan tage udgangspunk i naringr du skal finde ud
af om du skal udarbejde en konsekvensanalyse Naringr du har taget stilling til ovenstaringende ndash i kombination med
eventuelle flere udredninger af relevans for din organisation ndash kan du tage udgangspunkt heri naringr du skal soslashge
at identificere hvilke og hvor store risici behandlingen udgoslashr for fysiske personers rettigheder og frihedsrettighe-
der (de registrerede)
Du boslashr bestemme risikoens sandsynlighed og alvor under hensyn til behandlingens karakter omfang sammen-
haeligng og formaringl (er der tale om omfattende behandling er det foslashlsomme oplysninger og hvad er formaringlet med
behandlingen) Du skal evaluere risikoen paring baggrund af en objektiv vurdering I forhold til at skulle vurdere om
en identificeret risiko maring anses for at vaeligre hoslashj boslashr du se paring maeligngden af data du behandler og vurdere den i
forhold til den valgte behandlingsaktivitet (feks om der er tale om et stort antal personoplysninger som skal
behandles ved samstilling eller samkoslashring)
Der henvises naeligrmere til afsnit 41ndash43 umiddelbart nedenfor om saeligrligt paringkraeligvede tilfaeliglde hvor en behand-
ling sandsynligvis vil indebaeligre hoslashj risiko
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
8
betyder at enkeltpersoner kan vaeligre ude af stand til paring en nem maringde at give deres samtykke til eller
modsaeligtte sig behandlingen af deres oplysninger eller udoslashve deres rettigheder Saringrbare registrerede
omfatter navnlig boslashrn Det kan endvidere vaeligre mere saringrbare udsnit af befolkningen med behov for
saeligrlig beskyttelse (psykisk syge personer asylansoslashgere mv) Det kan ogsaring vaeligre tilfaeliglde hvor der
kan konstateres ubalance mellem den registreredes og din position som dataansvarlig
Eksempel ndash hvordan kan opgaven (vurdering af risici) gribes an
Naringr du skal vurdere om en risiko er hoslashj kan det vaeligre en hjaeliglp at starte med at identificere hvilke risici der i
det hele taget foreligger ved den paringtaelignkte behandling Det er i den henseende en fordel at du goslashr dig overve-
jelser om hvordan behandlingen skal foretages hvilke midler der skal anvendes samt hvilken kontekst be-
handlingen skal foregaring i
Helt konkret kan det bla vaeligre relevant at du faringr klarlagt foslashlgende
Hvilke systemer skal anvendes til din behandling ndash er det ny teknologi
Hvem ndash og hvor mangei hvor stort omfang ndash skal der behandles oplysninger om (boslashrn psykisk
syge eller andet)
Hvilke oplysninger skal der behandles (foslashlsomme)
Hvordan skal oplysningerne behandles (videregivelse samkoslashring mv)
Hvad er formaringlet med behandlingen
Hvordan fungerer systemet der skal foretage behandlingen (er der nogle indbyggede sikker-
hedsforanstaltninger mv i systemet)
Ovenstaringende er blot angivet som forslag til hvilke sposlashrgsmaringl du kan tage udgangspunk i naringr du skal finde ud
af om du skal udarbejde en konsekvensanalyse Naringr du har taget stilling til ovenstaringende ndash i kombination med
eventuelle flere udredninger af relevans for din organisation ndash kan du tage udgangspunkt heri naringr du skal soslashge
at identificere hvilke og hvor store risici behandlingen udgoslashr for fysiske personers rettigheder og frihedsrettighe-
der (de registrerede)
Du boslashr bestemme risikoens sandsynlighed og alvor under hensyn til behandlingens karakter omfang sammen-
haeligng og formaringl (er der tale om omfattende behandling er det foslashlsomme oplysninger og hvad er formaringlet med
behandlingen) Du skal evaluere risikoen paring baggrund af en objektiv vurdering I forhold til at skulle vurdere om
en identificeret risiko maring anses for at vaeligre hoslashj boslashr du se paring maeligngden af data du behandler og vurdere den i
forhold til den valgte behandlingsaktivitet (feks om der er tale om et stort antal personoplysninger som skal
behandles ved samstilling eller samkoslashring)
Der henvises naeligrmere til afsnit 41ndash43 umiddelbart nedenfor om saeligrligt paringkraeligvede tilfaeliglde hvor en behand-
ling sandsynligvis vil indebaeligre hoslashj risiko
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
9
33 Eksisterende behandlingsaktiviteter
Det er relevant at vide i hvilket omfang der skal foretages konsekvensanalyser for allerede igangvaeligrende
behandlingsaktiviteter naringr databeskyttelsesforordningen faringr virkning
En konsekvensanalyse er saringledes ikke noslashdvendigt for behandlingsaktiviteter der kontrolleres af Datatilsynet i
medfoslashr af den gaeligldende persondatalovs regler om anmeldelsespligt i kapitel 12 og 13 Har du saringledes feks
foretaget en anmeldelse af din behandling i henhold til persondatalovens sect 43 er behandlingen underlagt Da-
tatilsynets kontrol hvorfor der som udgangspunkt ikke skal udarbejdes en konsekvensanalyse Dette gaeliglder
dog kun i det omfang at behandlingen ikke er aeligndret siden anmeldelsen til Datatilsynet af behandlingen
Er der saringledes sket en aeligndring af behandlingen (i feks omfang formaringl kategorien af indsamlede oplysnin-
ger opbevaringsperiode mv) skal du tage stilling til om der paring baggrund af forordningens regler herom skal
foretages en konsekvensanalyse inden du paringbegynder den planlagte (nye) behandlingsaktivitet
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
10
4 Saeligrligt paringkraeligvede tilfaeliglde
I dette afsnit opregnes en raeligkke ikke-udtoslashmmende tilfaeliglde hvor det vil vaeligre saeligrlig relevant for dig som data-
ansvarlig at foretage en konsekvensanalyse da der vurderes at vaeligre tale om en behandling som sandsynligvis
vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder
41 Systematisk og omfattende vurdering af personlige forhold baseret paring auto-
matisk behandling
Der vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataansvarlig skal foretage en konsekvensana-
lyse saringfremt den paringtaelignkte behandlingsaktivitet omfatter en systematisk og omfattende vurdering af personlige
forhold vedroslashrende fysiske personer der er baseret paring automatisk behandling herunder profilering og som er
grundlag for afgoslashrelser der har retsvirkning for den fysiske person eller paring tilsvarende vis betydeligt paringvirker
den fysiske person
Du boslashr overveje om du foretager evaluering eller analyse herunder forudsigelse Saeligrligt hvis det foretages paring
baggrund af forhold vedroslashrende den registreredes arbejdsindsats oslashkonomiske situation helbred personlige
praeligferencer eller interesser paringlidelighed eller adfaeligrd eller geografiske position eller bevaeliggelser
Eksempel
Det kan vaeligre en biotekvirksomhed tilbyder genetiske tests direkte til forbrugerne for at vurdere og forudsige
sygdomme eller sundhedsrisici
Saeligrligt paringkraeligvede tilfaeliglde
Ifoslashlge forordningens artikel 35 stk 3 er en konsekvensanalyse navnlig
paringkraeligvet hvis der sker
1) en systematisk og omfattende vurdering af personlige forhold
vedroslashrende fysiske personer der er baseret paring automatisk be-
handling herunder profilering og som er grundlag for afgoslashrelser
der har retsvirkning for den fysiske person eller paring tilsvarende vis
betydeligt paringvirker den fysiske person
2) behandling i stort omfang af saeligrlige kategorier af foslashlsomme per-
sonoplysninger1 eller af personoplysninger vedroslashrende straffe-
domme og lovovertraeligdelser1 eller
3) systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort
omfang
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
11
Det er ogsaring relevant for dig som dataansvarlig at overveje om du behandler personoplysninger med det formaringl
at traeligffe afgoslashrelser vedroslashrende specifikke fysiske personer efter en systematisk og omfattende vurdering af
deres personlige forhold feks baseret paring profilering3 paring baggrund af disse oplysninger
Eksempel
Hvis politiet feks opsaeligtter fartkameraer og uden nogen form for menneskelig indblanding paring baggrund af in-
formationer fra disse udsteder boslashder er der tale om en automatisk afgoslashrelse omfattet af retsharingndhaeligvelseslo-
ven Dette involverer ikke noslashdvendigvis profilering Det vil imidlertid nok indebaeligre profilering saringfremt man over
tid overvaringger enkeltpersoners koslashrselsvaner og eventuelt indhenter oplysninger om tidligere faeligrdselslovsover-
traeligdelser og anvender dette som grundlag for feks at maringlrette kontroller mod udvalgte individer
Den beslutning eller afgoslashrelse der traeligffes paring baggrund af behandlingsaktiviteten skal have retsvirkning for den
fysiske person eller paring tilsvarende vis betydeligt paringvirke denne Behandlingsaktiviteten kan feks foslashre til ude-
lukkelse eller forskelsbehandling af enkeltpersoner Behandlingsaktiviteter med ringe eller ingen paringvirkning af
enkeltpersoner opfylder ikke dette specifikke kriterium
Eksempel
Et andet eksempel er en privat koncertarrangoslashr der inden afvikling af en stoslashrre rockkoncert oslashnsker at vurdere
om der er personer blandt publikum der kan formodes at udgoslashre en saeligrlig trussel for andre gaeligster Arrangoslashren
vil derfor foretage en samkoslashring af navnene paring de 35000 personer der har koslashbt en billet til koncerten op imod
offentligt tilgaeligngelige oplysninger (feks medieomtale blogs mv) der kan afdaeligkke eller indikere om de paring-
gaeligldende tidligere har optraringdt farligt eller forstyrrende ved offentlige arrangementer En saringdan behandling kan
siges at ville indebaeligre en hoslashj risiko for de beroslashrte personer og vil have den retsvirkning at de paringgaeligldende
naeliggtes adgang til en koncert de ellers lovligt har koslashbt billet til Der skal derfor gennemfoslashres en konsekvens-
analyse ndash ligesom det i oslashvrigt skal sikres at databeskyttelsesforordningen krav om proportionalitet mv efterle-
ves ndash inden den paringtaelignkte behandlingsaktivitet ivaeligrksaeligttes
42 Behandling af (foslashlsomme) oplysninger i stort omfang
Det foslashlger af forordningen at der ligeledes vil vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde hvor du som dataan-
svarlig boslashr foretage en konsekvensanalyse saringfremt du i stort omfang behandler oplysninger af saeligrlige katego-
rier eller personoplysninger vedroslashrende straffedomme eller lovovertraeligdelser
For saring vidt angaringr oplysninger af saeligrlige kategorier refereres til de foslashlsomme personoplysninger der er oplistet
i forordningens artikel 9 Dette drejer sig specifikt om personoplysninger om race eller etnisk oprindelse politisk
religioslashs eller filosofisk overbevisning eller fagforeningsmaeligssigt tilhoslashrsforhold samt behandling af genetiske data
biometriske data med det formaringl entydigt at identificere en fysisk person helbredsoplysninger eller oplysninger
om en fysisk persons seksuelle forhold eller seksuelle orientering
Derudover drejer det sig om oplysninger vedroslashrende straffedomme og lovovertraeligdelser eller tilknyttede sikker-
hedsforanstaltninger som naeligvnt i forordningens artikel 10
3 Profilering er i artikel 4 stk 4 defineret som enhver form for automatisk behandling af personoplysninger der bestaringr i at anvende personop-
lysningerne til at evaluere bestemte personlige forhold vedroslashrende en fysisk person navnlig for at analysere eller forudsige forhold vedroslash-
rende den fysiske persons arbejdsindsats oslashkonomiske situation helbred personlige praeligferencer interesser paringlidelighed adfaeligrd geogra-
fisk position eller bevaeliggelser
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
12
Der kan feks vaeligre tale om et sygehus der foslashrer journal over sine patienter
Er der tale om behandlingsaktiviteter i forbindelse ovenstaringende kategorier af oplysninger vil det vaeligre saeligrligt
paringkraeligvet for dig som dataansvarlig at foretage en konsekvensanalyse saringfremt behandlingen foretages i stort
omfang
Behandling af personoplysninger anses ikke for at ske i rdquostort omfangrdquovaeligre rdquoomfattenderdquo blot fordi der er tale
om foslashlsomme oplysninger Der skal vaeligre tale om behandling af foslashlsomme oplysninger og der skal ske behand-
ling i stort omfang
Naringr du skal vurdere hvorvidt du behandler oplysninger rdquoi stort omfangrdquo kan du med fordel laeliggge vaeliggt paring de
samme kriterier som der angives i vejledningen om databeskyttelsesraringdgivere under afsnittet om hvorvidt en
privat virksomhed er forpligtet til at udpege en databeskyttelsesraringdgiver4 Det er saringledes relevant at se paring
1 Antallet af personer der behandles oplysninger om ndash enten det specifikke antal personer eller som
andel af befolkningen
2 Volumenmaeligngden af personoplysninger og eller volumenmaeligngden af de forskellige typer af
personoplysninger der bliver behandlet
3 Tidsperioden der behandles oplysninger i samt hvorvidt behandlingen er permanent
4 Den geografiske udstraeligkning af behandlingsaktiviteterne
Eksempel
Som eksempel paring behandling af foslashlsomme personoplysninger i stort omfang kan naeligvnes sundhedsplatformen
som er en platform der samler informationer om patienter i Region Hovedstaden og Region Sjaeliglland i eacuten samlet
elektronisk patientjournal for hver enkelt patient
4 Se vejledning om databeskyttelsesraringdgivere afsnit 312 httpswwwdatatilsynetdkfileadminuser_uploaddokumenterVejledningerVej-
ledning_DPO_-_revideret_offentliggoerelse__1_0_pdf
Behandling af personoplysninger rdquoi stort omfangrdquo kan saringle-
des indebaeligre behandling af
en stor maeligngde af personoplysninger
oplysninger om et stort antal personer
lang varighed herunder permanent
stor geografisk udstraeligkning af behandlingsaktivite-
ter
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
13
Eksempel
Der kan vaeligre tale om behandling af personoplysninger i rdquostort omfangrdquo saringfremt der er tale om omfattende
behandlingsaktiviteter til behandling af meget store maeligngder personoplysninger paring regionalt nationalt eller
overnationalt plan der kan beroslashre mange fysiske personerregistrerede
rdquoRegionaltrdquo daeligkker her over behandlingsaktiviteter i dele af Danmark rdquonationaltrdquo over behandlingsaktiviteter i
hele Danmark mens rdquoovernationaltrdquo daeligkker over internationale behandlingsaktiviteter herunder europaeligiske
Regionale behandlingsaktiviteter kan vaeligre behandlingsaktiviteter inden for sundhedsvaeligsenet mens nationale
behandlingsaktiviteter feks kan vaeligre behandlingsaktiviteter der foretages i landsdaeligkkende forsikringsselska-
ber
43 Systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde
Der vil endvidere vaeligre tale om et saeligrligt paringkraeligvet tilfaeliglde saringfremt du foretager systematisk overvaringgning af
offentligt tilgaeligngeligt omraringde i stort omfang Se umiddelbart ovenfor vedroslashrende vurderingen af rdquostort omfangrdquo
En konsekvensanalyse er altsaring ligeledes paringkraeligvet ved omfattende overvaringgning af offentligt tilgaeligngelige omraring-
der navnlig ved brug af optoelektronisk udstyr Dette er et saeligrligt paringkraeligvet tilfaeliglde da personoplysninger kan
indsamles under omstaeligndigheder hvor de registrerede ikke er klar over hvem der indsamler deres dataop-
lysninger og om hvordan de indsamlede oplysninger vil blive anvendt Derudover kan det vaeligre umuligt for den
enkelte at undgaring at blive genstand for en saringdan behandling i et offentligt tilgaeligngeligt omraringde
Eksempel
Som eksempel paring systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde kan naeligvens en kommune eller
privat virksomheds opsaeligtning af et antal tv-overvaringgningskameraer der ndash inden for rammerne af lov om tv-
overvaringgning ndash indebaeligrer en loslashbende overvaringgning af publikumsomraringder og lignende
Tilsvarende er det i det hele taget relevant hvis du udfoslashrer behandlingsaktiviteter der anvendes til at observere
overvaringge eller kontrollere registrerede
44 Tilsynsmyndighedens lister over behandlingsaktiviteter
Den relevante tilsynsmyndighed hvilket i Danmark vil sige Datatilsynet udarbejder og offentliggoslashr en liste over
de typer af behandlingsaktiviteter der er underlagt kravet om konsekvensanalyse Tilsynsmyndigheden kan
desuden vaeliglge ogsaring at udarbejde en liste over de typer af behandlingsaktiviteter for hvilke der ikke kraeligves
nogen konsekvensanalyse Datatilsynet indgiver de udarbejdede lister til Databeskyttelsesraringdet For saring vidt
angaringr de lister over behandlingsaktiviteter hvor der kraeligves en konsekvensanalyse afgiver Databeskyttelses-
raringdet en udtalelse
Disse lister kan vaeligre behjaeliglpelige i din vurdering af om du skal foretage en konsekvensanalyse Forordningen
angiver ikke en tidfrist for hvornaringr disse lister skal foreligge Det fritager dig ikke for dit ansvar for at foretage
en konsekvensanalyse at listerne ikke foreligger i endelig form Indtil da maring du vurdere behovet for konse-
kvensanalyse ud fra kriterierne i forordningen som skitseret i denne vejledning
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
14
Det bemaeligrkes i oslashvrigt at du som dataansvarlig har en pligt til at foretage en forudgaringende hoslashring af Datatilsynet
saringfremt en konsekvensanalyse viser at en behandling selv efter eventuelt indfoslashrte foranstaltninger sandsyn-
ligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder jf afsnit 7 nedenfor
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
15
5 Faeliglles konsekvensanalyse
51 Flere lignende behandlingsaktiviteter og lignende hoslashje risici
Der kan vaeligre tilfaeliglde hvor det kan vaeligre fornuftigt at foretage en konsekvensanalyse som omfatter mere end
eacutet enkelt projekt
Dette kan feks vaeligre tilfaeligldet hvis offentlige myndigheder eller organer har planer om at indfoslashre et faeliglles IT-
system eller platform til behandling af personoplysninger
I stedet for at foretage en konsekvensanalyse for hver paringtaelignkt behandlingsaktivitets konsekvenser for beskyt-
telse af personoplysninger er det saringledes muligt at foretage en faeliglles konsekvensanalyse for flere behand-
lingsaktiviteter saringfremt der er tale om lignende behandlingsaktiviteter der indebaeligrer lignende hoslashje risici
Det kan vaeligre tilstraeligkkeligt at udarbejde en konsekvensanalyse for flere lignende behandlingsaktiviteter uanset
stoslashrrelsen af den maeligngde data som behandlingsaktiviteterne omfatter
52 Flere dataansvarlige
Det kan feks vaeligre relevant at foretage en faeliglles konsekvensanalyse hvis I er flere dataansvarlige som sam-
men planlaeliggger at indfoslashre en faeliglles applikationIT-system eller behandlingsplatform paring tvaeligrs af en industrisek-
tor eller industrisegment eller feks inden for den kommunale sektor
For at I som dataansvarlige kan garing sammen om at lave en faeliglles konsekvensanalyse er det en forudsaeligtning
at der er tale om samme type system den samme behandlingsaktivitet af de samme personoplysninger samt
at behandlingsaktiviteterne indebaeligrer lignende hoslashje risici
Det vil eksempelvis vaeligre tilstraeligkkeligt for flere kommuner at udarbejde eacuten konsekvensanalyse vedroslashrende
databeskyttelse i det samme system ndash som leveres af samme leverandoslashr ndash hvis systemet behandler de samme
typer af personoplysninger og behandlingsaktiviteterne indebaeligrer samme hoslashje risici
Eksempel
Flere kommuner oslashnsker at indkoslashbe et nyt fagsystem inden for et bestemt kommunalt omraringde som alle kommu-
ner skal anvende til samme behandlingsaktiviteter KOMBIT kravsspecificerer systemet paring vegne af kommu-
nerne Viser der sig at den type behandling som systemet foretager kraeligver udarbejdelse af en konsekvens-
analyse kan KOMBIT i dialog med kommunerne hjaeliglpe med udarbejdelsen af denne faeliglles konsekvensana-
lyse Kommunerne har dog som dataansvarlige fortsat hver isaeligr ansvaret for at konsekvensanalysen udarbej-
des
Det er de dataansvarlige der konkret vurderer hvorvidt systemerne og behandlingsaktiviteterne er identiske
herunder gennem en vurdering af indkoslashbstidspunkt varierende systemversioner leverandoslashrer mv Det er som
naeligvnt endvidere vaeligsentligt at behandlingerne indebaeligrer samme lignende hoslashje risici Her kan det feks taelign-
kes at den ene kommune har et tilkoslashbsmodul til systemet eller en egenudvikling som vil kraeligve en konsekvens-
analyse hvis behandlingsaktiviteter heri indebaeligrer hoslashje risici
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
16
I de tilfaeliglde hvor du som dataansvarlig foretager en faeliglles konsekvensanalyse med flere oslashvrige dataansvarlige
har I hver isaeligr ansvaret for foretagelsen heraf
Det afgoslashrende er ikke at der er fuld identitet mellem systemerne og behandlingsaktiviteterne men at systemet
data og behandlingsaktiviteter ikke afviger vaeligsentligt fra hinanden
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
17
6 Konsekvensanalysens indhold
Hvis du som dataansvarlig i medfoslashr af de forudgaringende afsnit har fundet ud af at du skal lave en konsekvens-
analyse vil de fortegnelser over behandlingsaktiviteter som du ifoslashlge forordningen skal foslashre5 vaeligre et godt sted
at tage udgangspunkt i da disse i et vist omfang vil kunne genanvendes ved udarbejdelse af konsekvensana-
lysen
Der stilles feks krav om angivelse af formaringlene med behandlingen ved baringde udarbejdelse af fortegnelser og
konsekvensanalyse Derudover vil en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforan-
staltninger i fortegnelser kunne hjaeliglpe dig i udarbejdelsen af den del af konsekvensanalysen der vedroslashrer
sikkerhedsforanstaltninger jf naeligste afsnit under punkt d
Som et eksempel paring hvordan du kan udfoslashre en konsekvensanalyse vedroslashrende databeskyttelse kan naeligvnes
ISOIEC DIS 29134 rdquoInformation technology ndash Security techniques ndash Privacy impact assesment ndash Guidelinesrdquo
som er en international standard udarbejdet af den internationale standardiseringsorganisation International
Organization for Standardization ISO Standarden er en vejledning i hvorledes en konsekvensanalyse (Privacy
Impact Assesment proces) kan udfoslashres Standarden beskriver processen i en raeligkke trin hvoraf et trin feks
vedroslashrer identifikation af risici mens et senere trin feks vedroslashrer beslutning om foranstaltninger Standarden
saeligtter bla fokus paring at behandlingssikkerhed bliver iagttaget og indarbejdet i feks design og implementerin-
gen af IT-loslashsninger
Benytter du denne standard ISOIEC DIS 29134 kan du oslashge sandsynligheden for at afdaeligkke vaeligsentlige ele-
menter i din databehandling og samtidig faring vejledning i processen og rapporteringen Standarden kan baringde
anvendes af offentlige myndigheder og private virksomheder
61 Minimumskrav
En konsekvensanalyse skal som minimum indeholde foslashlgende 4 punkter
a) En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formaringlene med behandlingen herunder
i givet fald de legitime interesser der forfoslashlges af den dataansvarlige
Dette krav indebaeligrer at du som dataansvarlig skal foretage en systematisk beskrivelse af de forskellige former
for behandling feks indsamling registrering videregivelse mv som personoplysningerne vil blive genstand
for Du skal endvidere lave en klar beskrivelse og definition af selve de personoplysninger som skal behandles
Dette gaeliglder ogsaring de foslashlsomme personoplysninger om feks race politiske tilhoslashrsforhold genetiske data mv6
samt personoplysninger vedroslashrende straffedomme og lovovertraeligdelser7
5 Se naeligrmere vejledning om fortegnelse der forventes offentliggjort i januar 2018
6 Jf artikel 9 stk 1 i databeskyttelsesforordningen
7 Jf artikel 10 i databeskyttelsesforordningen
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
18
Konsekvensanalysen skal endvidere indeholde en beskrivelse af formaringlet med behandlingen herunder en re-
degoslashrelse for de legitime interesser du som dataansvarlig har i at behandle oplysningerne Det kan feks vaeligre
at behandlingen af personoplysninger har hjemmel i lov eller skal ske som led i offentlig myndighedsudoslashvelse
b) En vurdering af om behandlingsaktiviteterne er noslashdvendige og staringr i rimeligt forhold til formaringlene
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af noslashdvendigheden af de planlagte be-
handlinger og om de er rimelige set i forhold til formaringlet med behandlingen Dette krav skal bla vaeligre med til
at forhindre dataophobning samt til at sikre at der kun behandles personoplysninger der er noslashdvendige og
som kan rummes inden for formaringlene med behandlingen
Behandlingen af personoplysninger maring altsaring ikke garing videre end det der kraeligves for at opfylde de formaringl du
som dataansvarlig er berettiget til at forfoslashlge8
c) En vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder
Dette krav indebaeligrer at du som dataansvarlig foretager en vurdering af risiciene for de registreredes rettigheder
og frihedsrettigheder navnlig retten til beskyttelse af personoplysninger Det betyder at du skal vurdere ret-
tighederne i forhold til den planlagte behandling og formaringlet med behandlingen
d) De foranstaltninger der paringtaelignkes for at imoslashdegaring disse risici herunder garantier sikkerhedsforanstaltninger
og mekanismer som kan sikre beskyttelse af personoplysninger og paringvise overholdelse af databeskyttelses-
forordningen under hensyntagen til de registreredes og andre beroslashrte personers rettigheder og legitime inte-
resser
Dette krav boslashr du se i sammenhaeligng med det forudgaringende krav Du skal saringledes vurdere hvilke foranstaltninger
som du paringtaelignker skal imoslashdegaring de vurderede risici Det kan feks vaeligre garantier eller sikkerhedsforanstaltnin-
ger
Forskellige paringviste risici i en konsekvensanalyse vil saringledes givetvis kraeligve forskellige foranstaltninger Se til
inspiration feks ISOIIEC 29151 (2017) som er en standard til valg af foranstaltninger til haringndtering af paringviste
risici
Eksempel
Hvis en risiko feks udspringer af antallet af personer der har adgang til en stor maeligngde (foslashlsomme) oplysnin-
ger kan du som sikkerhedsforanstaltning begraelignse antallet af sagsbehandlere der har adgang til at behandle
oplysningerne herunder feks opdele adgang efter hvad den enkelte mere specifikt har behov for ogeller
begraelignse den enkeltes muligheder for behandling (laeligse aeligndre udtraeligkke samkoslashre slette mv) Du kan ogsaring
foretage logning af behandling af personoplysninger (for at finde ud af hvem der goslashr hvad og om der er uved-
kommende paring netvaeligrket) kombineret med kontrol af om behandlingen er lovlig Du kan endvidere benytte
pseudonymisering hvis noglealle personer kan udfoslashre deres arbejde udelukkende med adgang til pseudony-
miserede personoplysninger
Eksempel
Hvis risiciene blandt andet skyldes at der sker transmission af oplysninger over internettet eller et andet netvaeligrk
du ikke har fuld kontrol over kan en relevant sikkerhedsforanstaltning feks vaeligre kryptering af de transmitterede
8 Se naeligrmere forordningens artikel 5 stk 1 litra c og e vedroslashrende dataminimering og forbud mod dataophobning
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
19
oplysninger Krypteringen kan variere i styrke alt efter oplysningernes karakter (hvor foslashlsomme personoplysnin-
ger der er tale om) Sikkerhed for autenticitet og integritet (afsenders og modtager identitet og de transmitterede
oplysningers aeliggthed) kan feks sikres ved elektronisk signatur
62 Konsekvensanalysens udarbejdelse
Databeskyttelsesforordningen praeligciserer ikke hvilken procedure for konsekvensanalysen man skal foslashlge Un-
der forudsaeligtning af at du tager hensyn til de minimumskrav der er naeligvnt umiddelbart ovenfor kan du indfoslashre
en ramme til gennemfoslashrelse af konsekvensanalysen paring en maringde der supplerer din eksisterende arbejdspraksis
I artikel 29-gruppens vejledning om konsekvensanalyse9 er der i bilag 1 henvist til en raeligkke tidligere offentlig-
gjorte rammer som er udviklet af EUrsquos databeskyttelsesmyndigheder og sektorspecifikke rammer i EU
63 Generel konsekvensanalyse (art 35 stk 10)
Det foslashlger af forordningen at den dataansvarlige i to tilfaeliglde er undtaget fra pligten til at foretage en konse-
kvensanalyse Det drejer sig om de tilfaeliglde hvor behandlingshjemlen skal findes i forordningens artikel 6 stk
1 litra c og e
Du skal altsaring se om der er tale om en behandling der er noslashdvendig for at overholde en retlig forpligtelse der
paringhviler dig som dataansvarlig eller er der tale om en behandling der er noslashdvendig af hensyn til udfoslashrelse af
en opgave i samfundets interesse eller som henhoslashrer under offentlig myndighedsudoslashvelse som du som data-
ansvarlig har faringet paringlagt
Er dette tilfaeligldet og har behandlingen i oslashvrigt et retsgrundlag i EU-retten eller i national ret som du er underlagt
og regulerer denne ret den eller de paringgaeligldende specifikke behandlingsaktiviteter og er der allerede foretaget
en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag saring er du undtaget fra en
eventuel pligt efter forordningen til at skulle foretage en konsekvensanalyse
I Danmark vil det i praksis betyde at en generel konsekvensanalyse vil kunne foretages i forbindelse med
udformningen af et lovforslag eller eventuelt en bekendtgoslashrelse
64 Fornyet konsekvensanalyse
Saringfremt risikobilledet aeligndrer sig eller du af anden grund vurderer at det er noslashdvendigt skal du som dataan-
svarlig foretage en fornyet gennemgang af behandlingsaktiviteterne med henblik paring at vurdere hvorvidt be-
handlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse Dette skal feks ske naringr
der sker en saringdan aeligndring at den risiko som behandlingsaktiviteterne udgoslashr bliver hoslashjere
Naringr der sker aeligndringer som betyder at formaringlet med behandlingen aeligndres skal du ligeledes vurdere om der
er behov for en fornyet gennemgang
9 Tilgaeligngelig paring Datatilsynets hjemmeside wwwdatatilsynetdk
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
20
AEligndres behandlingen saringledes at der fremover skal behandles andre personoplysninger end dem der aktuelt
behandles skal du ogsaring vurdere om der er behov for en fornyet gennemgang
Det kan feks taelignkes at et system fremover skal behandles foslashlsomme personoplysninger saringsom fagforenings-
maeligssige tilhoslashrsforhold eller politisk overbevisning og ikke kun oplysninger om feks navn og adresse Det kan
eksempelvis ogsaring vaeligre at et system der omfatter behandlingsaktiviteter af foslashlsomme personoplysninger10
fremover ogsaring skal omfatte behandling af oplysninger om straffedomme11
10 Omfattet af forordningens artikel 9
11 Omfattet af forordningens artikel 10
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
21
7 Forudgaringende hoslashring af tilsynsmyndighe-
den
Visse behandlinger kraeligver at tilsynsmyndigheden hoslashres forud for paringbegyndelse af behandlingen
Det er dog vigtigt at vaeligre opmaeligrksom paring at det er dit ansvar som dataansvarlig at vurdere om en behandling
ndash herunder indsamling registrering og videregivelse ndash er i overensstemmelse med forordningen En udtalelse
fra Datatilsynet paring baggrund af din hoslashring vil ikke goslashre op med eller godkende alle fremtidige databehandlinger
der vil ske hos dig som led i de behandlingsaktiviteter du har hoslashrt tilsynet om
71 Hvornaringr skal der foretages forudgaringende hoslashring af tilsynsmyndigheden
Du har pligt til at foretage en forudgaringende hoslashring af Datatilsynet inden du paringbegynder en paringtaelignkt behandling
af personoplysninger hvis din konsekvensanalyse viser at behandlingen vil foslashre til en hoslashj risiko og du ikke kan
begraelignse denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger
Er du en privat dataansvarlig skal du endvidere i visse situationer altid indhente forudgaringende tilladelse fra
Datatilsynet inden du paringbegynder behandlingen
Ved udarbejdelse af lovforslag bekendtgoslashrelser cirkulaeligrer eller lignende generelle retsforskrifter som om-
handler behandling af personoplysninger skal der indhentes en udtalelse fra Datatilsynet med henblik paring at
sikre at den planlagte behandling overholder forordningen og navnlig for at begraelignse risiciene for den regi-
strerede
72 Tilsynsmyndighedens reaktion
Datatilsynet skal reagere saringfremt tilsynet finder at den planlagte behandling overtraeligder forordningen Over-
traeligdelse kan navnlig foreligge hvis du ikke i tilstraeligkkelig grad har identificeret eller begraelignset den foreliggende
risiko Men overtraeligdelse kan feks ogsaring foreligge hvis de paringtaelignkte behandlingsaktiviteter garingr videre end hvad
der er muligt efter forordningens betingelser
Naringr Datatilsynet har identificeret en overtraeligdelse skal tilsynet give dig eller din databehandler skriftlig raringdgiv-
ning Dette skal ske inden for en periode paring op til otte uger efter modtagelse hoslashringsanmodningen Datatilsynet
kan i den forbindelse anvende enhver af de befoslashjelser tilsynet er tillagt efter forordningen feks adgangen til
at kraeligve yderligere oplysninger12
Datatilsynets manglende reaktion inden for det fastsatte tidsrum (der i visse situationer kan forlaelignges eller
suspenderes) beroslashrer ikke dets mulighed for at gribe ind i overensstemmelse med dets tillagte befoslashjelser og
opgaver herunder feks befoslashjelsen til at forbyde behandlingsaktiviteter
12 For en naeligrmere oplistning af befoslashjelserne henvises til forordningens artikel 58
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
22
Hvis Datatilsynet ikke finder at den planlagte behandling overtraeligder forordningen er der ikke et krav om skriftlig
vejledning Det er i den forbindelse ogsaring vigtigt at vaeligre opmaeligrksom paring at du ikke kan antage at en manglende
reaktion fra Datatilsynet er udtryk for at enhver kommendefremtidig databehandling i forbindelse med den
aktivitet der er forelagt Datatilsynet er i overensstemmelse med forordningen Datatilsynet kan saringledes fortsat
gribe ind i overensstemmelse med sine befoslashjelser
73 Grundlaget for tilsynsmyndighedens behandling
I forbindelse med hoslashringen af Datatilsynet skal du indgive de oplysninger til tilsynet som fremgaringr af nedenstaring-
ende boks
I relation til foslashrste punkt menes feks en angivelse af rollerne og ansvarsomraringderne for de naeligvnte aktoslashrer
(feks hvilken rolle og ansvarsomraringde databehandleren har) For saring vidt angaringr rdquohjaeliglpemidlerrdquo i andet punkt
menes bla hvilke midler der anvendes til at foretage behandlingen (hvordan foretages behandlingen)
Som det ogsaring fremgaringr af boksens sidste punkt har du pligt til at give andre oplysninger som Datatilsynet an-
moder om hvilket feks kan vaeligre oplysninger om hvor personoplysningerne vil blive behandlet herunder om
du feks har en databehandler uden for EU og paring hvilket grundlag overfoslashrsler af oplysninger til tredjelandet vil
ske
Som dataansvarlig skal du oplyse Datatilsynet om foslashlgende i forbindelse med en
paringkraeligvet hoslashring (art 36 stk 3)
ansvarsomraringderne for henholdsvis den dataansvarlige faeliglles dataan-
svarlige og databehandleren der er involveret i behandlingen navnlig
med hensyn til behandlingen inden for en koncern
den planlagte behandlings formaringl og hjaeliglpemidler
foranstaltninger og garantier til beskyttelse af de registreredes rettighe-
der og frihedsrettigheder
databeskyttelsesraringdgiverens kontaktoplysninger
konsekvensanalysen
andre oplysninger som tilsynsmyndigheden anmoder om
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
23
8 Indhentelse af den registreredes synspunk-
ter
For at sikre den bedste databeskyttelse boslashr du som dataansvarlig vaeligre omhyggelig ved udfoslashrelsen af en kon-
sekvensanalyse
Hvis det er relevant boslashr du indhente de registreredes eller deres repraeligsentanters synspunkter vedroslashrende den
planlagte behandling Det skal goslashres uden at det beroslashrer beskyttelse af kommercielle eller samfundsmaeligssige
interesser eller behandlingsaktiviteternes sikkerhed
Hvorvidt det er relevant afhaelignger af en konkret vurdering af risiciene for de registrerede hver gang du foretager
en behandling
Det kan eksempelvis vaeligre relevant at indhente synspunkter fra den registrerede eller dennes repraeligsentant i
forbindelse med hoslashringsprocessen ved udarbejdelse af lovforslag
Artikel 29-gruppen har i sin vejledning om konsekvensanalyser angivet at disse synspunkter kan indhentes ved
hjaeliglp af forskellige midler afhaeligngigt af situationen ndash feks en generel undersoslashgelse i relation til formaringlet med
og hjaeliglpemidlerne til behandlingsaktiviteten et sposlashrgsmaringl til medarbejderrepraeligsentanterne eller almindelige
undersoslashgelser der sendes til den dataansvarliges fremtidige kunder ndash der sikrer at den dataansvarlige har et
retsgrundlag for behandling af personoplysninger i forbindelse med indhentningen af saringdanne synspunkter
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
24
9 Adfaeligrdskodekser
En adfaeligrdskodeks er i databeskyttelsesforordningens forstand et saeligt retningslinjer som skal bidrage til at sikre
at de virksomheder der har tilsluttet sig kodeksen anvender reglerne i databeskyttelsesforordningen korrekt
En adfaeligrdskodeks kan feks garing ud paring at specificere databeskyttelsesforordningens regler om behandlingssik-
kerhed
Overholdelse af en godkendt adfaeligrdskodeks kan saringledes bruges som element til at paringvise at du som dataan-
svarlig lever op til dine forpligtelser efter forordningen
Derfor foslashlger det ogsaring direkte af forordningen at overholdelse af godkendte adfaeligrdskodekser skal inddrages
behoslashrigt ved vurderingen af konsekvenserne af de behandlingsaktiviteter der udfoslashres den dataansvarlige eller
databehandlere navnlig i forbindelse med en konsekvensanalyse
Eksempel13
Er du feks et (privat)hospital14 der oslashnsker at indkoslashbe et nyt IT-system hvor du bla vil registrere og behandle
oplysninger om alle dine patienter saring skal du (formentlig) foretage en konsekvensanalyse inden IT-systemet
tages i brug idet der behandles foslashlsomme personoplysninger (helbredsoplysninger) i stort omfang
I den forbindelse kan det vaeligre at du tidligere har tilsluttet dig en godkendt adfaeligrdskodeks vedroslashrende behand-
lingssikkerhed (for saring vidt angaringr personoplysninger) paring (privat)hospitaler Adfaeligrdskodeksen indeholder bla
klare retningslinjer for pseudonymisering og kryptering af personoplysninger samt klare retningslinjer for privat-
hospitalers beskyttelse af personoplysninger ud mod internettet (firewalls mv) Naringr du skal foretage din konse-
kvensanalyse vil du kunne inddrage efterlevelsen af den godkendte adfaeligrdskodeks vedroslashrende behandlings-
sikkerhed naringr du skal vurdere risikoen ved at overgaring til det nye it-system Adfaeligrdskodeksen kan paring denne
maringde bidrage til at mindske risikoen ved at tage det nye it-system i brug
13 Se naeligrmere om adfaeligrdskodekser i vejledning om adfaeligrdskodekser og certificeringsordninger hvor eksemplet ligeledes fremgaringr fsva et
privathospital der er tilgaeligngelig paring Datatilsynets hjemmeside wwwDatatilsynetdk
14 Eller et landsdaeligkkende forsikringsselskab der tegner syge- og ulykkesforsikringer
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
25
10 Opsummering
Denne vejledning skulle gerne have givet dig som dataansvarlig naeligrmere information om hvornaringr du skal fo-
retage en konsekvensanalyse og hvad den skal indeholde
Nedenstaringende er en opsummering af vejledningens opmaeligrksomhedspunkter
Du er som dataansvarlig forpligtet til at foretage en konsekvensanalyse naringr en behandling sand-
synligvis vil indebaeligre en hoslashj risiko for fysiske personers rettigheder og frihedsrettigheder navnlig
ved brug af rdquonye teknologierrdquo herunder anvendelse af teknologier paring nye maringder
En konsekvensanalyse er navnlig paringkraeligvet hvis 1) der sker en systematisk og omfattende vur-
dering af personlige forhold vedroslashrende fysiske personer der er baseret paring automatisk behand-
ling herunder profilering 2) der behandles foslashlsomme oplysninger i stort omfang eller 3) der sker
systematisk overvaringgning af et offentligt tilgaeligngeligt omraringde i stort omfang
En konsekvensanalyse kan omfatte flere lignende behandlingsaktiviteter der indebaeligrer lignende
hoslashje risici
En konsekvensanalyse skal mindst omfatte 1) en systematisk beskrivelse af behandlingsaktivite-
terne og formaringlene med behandlingen 2) en proportionalitetsvurdering i forhold til formaringlene 3)
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder 4) de foranstaltnin-
ger der paringtaelignkes for at imoslashdegaring disse risici
Saringfremt risikoen ved behandlingsaktiviteten aeligndrer sig skal du som dataansvarlig foretage en
fornyet gennemgang Det kan ogsaring vaeligre noslashdvendigt af andre grunde
Hvis konsekvensanalysen viser at behandlingen vil foslashre til en hoslashj risiko og du ikke begraelignser
denne hoslashje risiko ved indfoslashrelse af passende foranstaltninger har du pligt til at hoslashre Datatilsy-
net inden paringbegyndelse af behandlingen
Overholdelse af godkendte adfaeligrdskodekser skal inddrages behoslashrigt ved vurderingen af konse-
kvenserne i forbindelse med en konsekvensanalyse
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp
26
Dato
22 marts 2018
Justitsministeriet
Slotsholmsgade 10
1216 Koslashbenhavn K
Telefon
72 26 84 00
jmjmdk
ISBN
978-88-98564-35-7
Foto
Scanp