En konsekvensanalyse vedrørende databeskyttelse er en gennemgående analytisk proces, der sigter mod at beskrive, evaluere og håndtere risici, der er forbundet med behandlingen af personoplysninger. Formålet er at sikre, at behandlingen af personoplysninger er nødvendig og proportional, samtidig med at den bidrager til at beskytte fysiske personers rettigheder og frihedsrettigheder.
Konsekvensanalysen involverer en detaljeret beskrivelse af, hvordan personoplysninger behandles, en grundig vurdering af behandlingens risici samt identifikation af foranstaltninger til at håndtere disse risici. Ud over at vurdere risici er konsekvensanalysen også karakteriseret ved at inkludere høring af Datatilsynet og få de registreredes synspunkter om den givne behandling. Der stilles væsentlige krav til dokumentation i hele processen.
Kravet om at udføre en konsekvensanalyse er obligatorisk for visse typer databehandlinger, mens det for andre afhænger af en individuel vurdering af risiciene forbundet med behandlingen af personoplysninger. Det er den dataansvarliges ansvar at foretage denne vurdering og sikre, at alle relevante skridt tages for at beskytte personoplysninger effektivt.
Når en virksomhed er dataansvarlig ved behandling af personoplysninger, skal denne lave en konsekvensanalyse i tilfælde af, at der en sandsynlighed for høj risiko for fysiske personers rettigheder og frihedsrettigheder. Det er en pligt og et ansvar, som en virksomhed har, når denne er dataansvarlig.
Hvis man som dataansvarlig har indgået en databehandleraftale med en databehandler, er databehandleren ifølge aftalen forpligtet til at yde assistance til den dataansvarlig i forhold til foretagelsen af konsekvensanalysen.
Vi yder konkret rådgivning vedrørende konsekvensanalyser for dataansvarlig – også i forholdet med en databehandler. Kontakt os for at høre mere om GDPR og hvordan I kan sikre jer som virksomhed med en veludformet konsekvensanalyse.