Gå til forsiden til Vejledning om databeskyttelse for initiativtagere
Vejledning om databeskyttelse – Spørgsmål 6
Hvornår og hvordan skal man foretage en databeskyttelsesvurdering?
Gælder for scenarie 2, undtagen ved brug af Kommissionens filudvekslingstjeneste.
Som repræsentant for initiativtagerne skal du foretage en databeskyttelsesvurdering, hvis databehandlingen forventes at indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Det er blandt andet et krav, når der behandles store mængder følsomme oplysninger.
Det Europæiske Databeskyttelsesråd har udarbejdet retningslinjer for konsekvensanalyser vedrørende databeskyttelse. Du skal også tjekke, om den kompetente nationale databeskyttelsesmyndighed har udstedt yderligere vejledning om, hvornår og hvordan der skal foretages konsekvensanalyser vedrørende databeskyttelse.
Konsekvensanalysen vedrørende databeskyttelse skal gennemføres, inden databehandlingen foretages, og den skal betragtes som et værktøj til løbende anvendelse og ikke en enkeltstående analyse. Hvis der stadig er risici, som ikke kan afhjælpes med de indførte foranstaltninger, skal den kompetente nationale databeskyttelsesmyndighed høres, inden databehandlingen påbegyndes.
BEMÆRK:
Det er ikke nødvendigt at foretage en databeskyttelsesvurdering ved databehandling under fælles dataansvar med Kommissionen, da den type databehandling allerede er omfattet af Kommissionens databeskyttelsesvurdering (se scenarie 1).
Henvisninger:
- Artikel 35 i GDPR
- Artikel 36 i EUDPR
- Det Europæiske Databeskyttelsesråds retningslinjer for databeskyttelsesvurdering