Artikel 29-gruppen har lavet nye retningslinjer vedrørende "Data Protection Impact Assessments"

22 maj 2017

I forlængelse af introduktionen af Data Protection Impact Assessment (på dansk kaldet "konsekvensanalyse vedrørende databeskyttelse" og forkortet "DPIA") har Artikel 29-gruppen nu udstedt retningslinjer til brug for vurderingen af, hvornår en DPIA skal udarbejdes, og hvad den skal indeholde.

Hvornår er en DPIA påkrævet?

En DPIA skal gennemføres, når en almindelig risikovurdering viser, at behandlingen af data har en høj risiko i forhold til de registreredes rettigheder. Artikel 29-gruppen anbefaler dog at lave en DPIA, uanset om det er usikkert eller usandsynligt, at der skal laves en DPIA, da det kan være et brugbart værktøj til at sikre compliance med Forordningen.

Forordningens artikel 35 (3) indeholder en liste af tilfælde, hvor en DPIA altid skal udføres. Artikel 29-gruppen understreger, at denne liste ikke er udtømmende og giver konkrete eksempler på, hvornår der kan foreligge en betydelig risiko.

Artikel 35 (3) eksempel 1:

En systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer ved brug af automatiseret behandling, herunder profilering, som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende væsentligt påvirker den fysiske person.

Artikel 29-gruppens kommentarer:

  • Eksempler på profilering: bankers kreditovervågning af kunder, gentestning, samt virksomheders dannelse af personprofiler ud fra en persons adfærd på internettet, herunder virksomhedens hjemmeside
  • Juridisk eller væsentlig påvirkning: udelukkelse eller diskrimination. Artikel 29-gruppen vil uddybe dette i de kommende retningslinjer vedrørende profilering

Artikel 35 (3) eksempel 2: 

Behandling i stort omfang af særlige kategorier af oplysninger (følsomme oplysninger) eller af personoplysninger vedrørende straffedomme og lovovertrædelser.

Artikel 29-gruppens kommentarer:

  • Er typisk hospitalers opbevaring af patientjournaler, men kan også være privatdetektivers opbevaring af kriminelles personlige oplysninger
  • Eksempler på andre personoplysninger med forhøjet risiko: kommunikationsdata, lokaliseringsdata og finansielle oplysninger (som udgør en risiko for bedrageri)
  • Personoplysningernes offentlige tilgængelighed er en relevant faktor
  • Fx behandling af oplysninger, der sker som led i rent personlige eller familiemæssige aktiviteter (den såkaldte "household exemption"), så som cloud computing, digitale dagbøger, e-mails og andre lognings app's, der kan indeholde meget personfølsomme oplysninger, og som bruges til andre formål end personlige og familiemæssige aktiviteter
  • Antallet af registrerede, datamængden, behandlingens varighed og den geografiske udstrækning er relevante faktorer i vurderingen af, om der er tale om databehandling i "stort omfang"

Artikel 35 (3) eksempel 3:

Systematisk overvågning af et offentligt tilgængeligt område i stort omfang.

Artikel 29-gruppens kommentarer:

  • Det forhold, at de registrerede måske ikke er klar over, og ikke har mulighed for at undgå, at de bliver overvåget, skal tillægges vægt
  • Antallet af registrerede, datamængden, behandlingens varighed og den geografiske udstrækning er relevante faktorer for vurderingen af "stort omfang"

Herudover nævner Artikel 29-gruppen yderligere kriterier, der bør inddrages i vurderingen:

  • Hvis der sker matching og kombinering af datamængder på en måde, der ikke umiddelbart er forudsigelig for den registrerede
  • Hvis personoplysningerne vedrører udsatte personer, herunder ansatte, børn, ældre mennesker, psykisk syge, asylansøgere, patienter og enhver anden, hvor der er uligevægt i forholdet mellem den registrerede og den dataansvarlige
  • Når der sker dataoverførsler til tredjelande uden for EU
  • Når behandlingen af personoplysninger forhindrer den registrerede i at gøre brug af en rettighed, en service eller en kontrakt

Når to eller flere af ovennævnte kriterier er omfattet af en virksomheds behandling af personoplysninger, bør der udarbejdes en DPIA. Dette betyder f.eks., at en virksomheds overvågning af sine ansatte (systematisk overvågning af en udsat gruppe) og datamining af offentlige profiler (analyse af sammenhænge i store datamængder samt behandling i stort omfang) er underlagt DPIA kravet.

Hvad med allerede eksisterende databehandlingsprocesser?

En DPIA er alene påkrævet ved behandling af personoplysninger iværksat efter Forordningens ikrafttrædelse i maj 2018. Artikel 29-gruppen anbefaler imidlertid alle dataansvarlige at lave en DPIA for eksisterende behandlinger inden. Dette vil særligt være tilfældet, hvis der sker en ændring af risikoen, f.eks. ved brug af ny teknologi, eller når personoplysninger bruges til andre formål end tidligere angivet. Da der reelt er tale om en ny databehandlingsproces, skal der udføres en ny eller ske revurdering af en tidligere DPIA. Artikel 29-gruppen anbefaler under alle omstændigheder, at en DPIA revurderes hver tredje år, måske endda tidligere, afhængig af de behandlinger, der finder sted, hyppigheden af ændringer i behandlingen samt omstændighederne i øvrigt.

Hvornår skal en DPIA udføres?

En DPIA bør laves forud for persondatabehandlingen. Kravet hænger nøje sammen med de nye principper "privacy by design" og "privacy by default", der helt overordnet skal sikre den dataansvarliges overholdelse af Forordningens regler.

Rapporten bør udføres så tidligt som muligt, også selvom en række af behandlingsprocesserne forsat er ukendte. I visse tilfælde vil udførelsen af rapporten være en løbende proces, eksempelvis når en behandlingsproces er dynamisk og udsat for løbende ændringer. Derudover bør den som tidligere nævnt revurderes hver tredje år eller oftere, afhængig af de konkrete omstændigheder.

Hvem har ansvaret?

Den dataansvarlige har altid ansvaret for, at en DPIA udføres, og DPO’en – hvis virksomheden har udpeget en - skal altid involveres og har pligt til at kontrollere opfyldelsen af DPIA’en. Det er dog muligt at få den udført af en ekstern part, hvilket især bør overvejes, hvis virksomheden ikke har udpeget en DPO.

Hvis behandlingen af personoplysninger helt eller delvist foretages af en databehandler, skal denne assistere i udførelsen af rapporten og tilvejebringe alle nødvendige oplysninger. Derudover bør andre relevante eksperter involveres i processen, herunder advokater, it-sikkerhedseksperter og tekniske eksperter.

Fremgangsmåde

Forordningens artikel 35 (7) angiver, hvad en DPIA som minimum skal omfatte. I den forbindelse påpeger Artikel 29-gruppen, at selv om visse dele af DPIA'en overlapper med alment kendte risikohåndteringsudtryk (f.eks. ISO 31000), er DPIA'en et værktøj til håndtering af risici, som en given behandling udgør for de registreredes rettigheder. Rapporten skal derfor fokusere på beskyttelsen af de registreredes rettigheder, hvorimod risikohåndtering inden for f.eks. IT-sikkerhed mere fokuserer på selve organisationen.

Nedenstående figur illustrerer den generiske og iterative proces for udførelsen af en DPIA, som beskrevet i artikel 35(7):

 

Offentliggørelse og høring af Datatilsynet

Det er ikke et krav at offentliggøre en DPIA-rapport. Artikel 29-gruppen anbefaler dog at gøre det under alle omstændigheder for at demonstrere tillid og ansvar over for borgerne.

Høring af Datatilsynet er påkrævet, når det ikke under hensynstagen til tilgængelig teknologi og omkostninger er muligt at reducere en funden høj risiko til et acceptabelt niveau. Dette er f.eks. tilfældet, når en registreret vil støde på konsekvenser, som måske er uoprettelige og uoverkommelige, og/eller når det skønnes sandsynligt, at en sådan risiko vil forekomme.

Derudover vil der i national lovgivning kunne stilles krav om, at der sker høring af og indhentes tilladelse fra Datatilsynet, når der foretages behandling af personoplysninger i samfundets interesse, f.eks. i relation til folkesundhed eller social sikring, uanset risikoen forbundet med behandlingen.

Andre relevante punkter

Artikel 29-gruppen har udarbejdet en liste over EU DPIA-strukturer samt en liste over kriterier, som DPIA'en bør indeholde. Begge er vedlagt som bilag 1 og 2 til retningslinjerne.

Gruppen har endvidere påpeget, at det i visse tilfælde kan være rimeligt og økonomisk at udføre en DPIA, der omfatter mere end et projekt, f.eks. når flere kommuner har planer om at indføre et ens CCTV-system i flere områder og derfor kan nøjes med at udføre en enkelt DPIA, der dækker alle de involverede dataansvarliges (kommunernes) databehandling.

Det kan også være tilfældet, hvor en producent gør sin DPIA tilgængelig, således at andre dataansvarlige, der bruger producentens produkt, kan tage udgangspunkt i denne ved udførelsen af egne DPIA'er. Dette vil formodentlig gøre hele DPIA-processen mere effektiv, idet de øvrige dataansvarlige kan fokusere på forhold, der specifikt vedrører deres brug af produktet i stedet for at bruge tid på aspekter, der er alment kendt ved brug af produktet.

I den forbindelse opfordrer Artikel 29-gruppen til, at der udarbejdes sektorspecifikke DPIA-strukturer, hvilket gør det muligt for analysen at være mere fokuseret på de relevante risici og reduceringen af disse inden for den pågældende branche.

Sanktion ved overtrædelse af DPIA kravet

Såfremt en virksomhed, der er omfattet af kravet om at udføre en DPIA, ikke udfører den i henhold til reglerne eller helt undlader at lade den udføre, kan virksomheden sanktioneres med en bøde på op til 10 millioner EUR eller 2 % af virksomhedens globale, årlige omsætning.