Skip to content

Data Protection Impact Assessment (DPIA) 

Sådan laves en konsekvensanalyse (skabelon inkluderet)

En Data Protection Impact Assessment (DPIA) er påkrævet i henhold til GDPR, hver gang du påbegynder et nyt projekt, der sandsynligvis vil involvere “en høj risiko” for andres personlige oplysninger. Her kan du læse om hvordan du udfører en DPIA og inkluderer en skabelon, der hjælper dig med at udføre vurderingen.

EU’s generelle databeskyttelsesforordning (GDPR) indeholder snesevis af nye regler (og mange gamle), som organisationer skal følge for at beskytte de personlige oplysninger, de indsamler om deres kunder eller personer, der besøger deres hjemmesider. Organisationer, der ikke overholder GDPR, risikerer strenge sanktioner, herunder bøder på op til $20 millioner eller 4 procent af den årlige omsætning, alt efter hvad der er højest.

En af de vigtigste måder at vise myndighederne, at din organisation overholder GDPR, er at udarbejde en DPIA for hver af dine højrisikodatabehandlingsaktiviteter.

Nedenfor forklarer vi, hvordan du bestemmer, hvornår du skal udføre en DPIA, efterfulgt af, hvordan du udfører analysen.

Konsekvensanalyse i henhold til GDPR
Artikel 35 i GDPR dækker databeskyttelseskonsekvensvurderinger. DPIA er et nyt krav under GDPR som en del af “protection by design”-princippet. Ifølge loven:

Hvor en form for behandling, især ved brug af nye teknologier, og under hensyntagen til behandlingens art, omfang, kontekst og formål sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen, foretage en vurdering af virkningen af ​​de påtænkte behandlingsoperationer på beskyttelsen af ​​personoplysninger.

Selvom denne passage gør det klart, at en DPIA er påkrævet ved lov under visse betingelser, er den ubehjælpsomt lys på detaljer. For at hjælpe med at afklare situationen er her nogle konkrete eksempler på de typer tilstande, der ville kræve en DPIA:

  • Hvis du bruger nye teknologier
  • Hvis du sporer folks placering eller adfærd
  • Hvis du systematisk overvåger et offentligt tilgængeligt sted i stor skala
  • Hvis du behandler personoplysninger relateret til “race eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger eller fagforeningsmedlemskab og behandling af genetiske data, biometriske data med det formål at identificere en fysisk person entydigt, data vedrørende sundhed eller data vedrørende en fysisk persons sexliv eller seksuelle orientering”
  • Hvis din databehandling bruges til at træffe automatiske beslutninger om personer, der kan have juridiske (eller tilsvarende væsentlige) virkninger
  • Hvis du behandler børns data
  • Hvis de data, du behandler, kan resultere i fysisk skade på de registrerede, hvis de lækkes
  • I andre tilfælde, hvor højrisikostandarden ikke er opfyldt, kan det stadig være klogt at gennemføre en DPIA for at minimere dit ansvar og sikre, at bedste praksis for datasikkerhed og privatliv følges i din organisation. Husk, at de fleste databrud udløser visse lovkrav.

Sådan laver du en konsekvensanalyse 
Som skitseret i artikel 35 kræver GDPR, at DPIA’er skal indeholde følgende elementer:

  1. En systematisk beskrivelse af de påtænkte behandlinger og formålene med behandlingen, herunder, hvor det er relevant, den legitime interesse, som den dataansvarlige forfølger.
  2. En vurdering af nødvendigheden og proportionaliteten af ​​behandlingsoperationerne i forhold til formålene
    En vurdering af risiciene for de registreredes rettigheder og friheder
  3. De påtænkte foranstaltninger for at imødegå risici, herunder beskyttelsesforanstaltninger, sikkerhedsforanstaltninger og mekanismer til at sikre beskyttelsen af ​​personoplysninger og for at demonstrere overholdelse af GDPR under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser
  4. Du skal forberede din DPIA, før du begynder nogen databehandlingsaktivitet. Ideelt set bør du udføre din DPIA før og under planlægningsstadierne af dit nye projekt. Hvis du har en databeskyttelsesansvarlig, skal du rådføre dig med denne person og alle andre nøgleinteressenter involveret i projektet i løbet af DPIA.

Det Forenede Kongerige’s Information Commissioner’s Office, som er ansvarlig for at håndhæve GDPR i det pågældende land, har udarbejdet en skabelon til databeskyttelsesvurdering. Dokumentet vil guide dig gennem processen med at afgøre, om din databehandlingsaktivitet kræver en DPIA. Den vil derefter stille dig en række spørgsmål for at forstå omfanget af databehandlingen og hjælpe dig med at bestemme, hvilke beskyttelser du kan implementere som en del af designet af dit projekt.

Søren Seldrup

Råhovedvej 24 | 4672 Klippinge |
CVR-nr. 39 95 21 22
Telefon + 45 53 81 23 23
© 2025 Juritas ApS