1. Baggrund, formål og afgrænsning
En DPIA er nødvendig, når der er en potentiel høj risiko for de personer, hvis data du har registreret. En høj risiko kan for eksempel forstås som systematisk og omfattende profilering, brug af personfølsom data eller offentlig overvågning.
Når en høj risiko er identificeret, er det første skridt at beskrive baggrunden for behandlingen af personoplysninger, og hvorfor I er forpligtet til at lave en DPIA.
2. Relevante parter - inddragelse af de registrerede
Her bliver det lidt mere omfattende. Dog er det et yderst vigtigt skridt. Du bør inddrage synspunkterne fra de personer, hvis data er involveret. Hvad er fru Jensen mest bekymret over, når hun deler sine personlige oplysninger med dig? Lav en høringsproces for at indhente synspunkter fra de involverede eller deres repræsentanter.
3. Behandling af personoplysninger - behandlingens formål, karakter og sammenhæng
Nu er det tid til trin for trin at kortlægge, præcis hvad du vil gøre med fru Jensens data, som du indsamlede, da hun blev medlem af din organisation. Hvordan opbevarer du det? Hvem har adgang til det? Samt det større billede: Hvad er det forventede udbytte for de registrerede, den dataansvarlige og samfundet som helhed. Her kan du eventuelt vedlægge en dataflowanalyse der viser, hvordan personoplysningerne flyder i organisationen fra indsamling til sletning.
Dette trin er i øvrigt også afgørende for administrationen af jeres Fortegnelser.
4. Vurdering af nødvendigheden og proportionaliteten
Overvej hvordan du sikrer overholdelse af databeskyttelsesloven. Hvad er det lovlige grundlag for behandling? Opnår behandlingen sit formål? Og hvordan håndteres samtykke fra de registrerede?
5. Databehandlere, videregivelse og tredjelandsoverførsler
Her anføres det, hvordan det sikres, at eventuelle databehandlere og underdatabehandlere overholder de databeskyttelsesretlige regler. Tag stilling til om der overføres personoplysninger til modtagere i tredjelande og internationale organisationer samt hvordan de håndteres.
6. Risici og foranstaltninger
Hvad er det værste, der kan ske for fru Jensen? Tab af kontrol over egen data? Forskelsbehandling? Identitetstyveri? Fysisk skade? Du skal overveje både sandsynligheden og alvoren af mulig skade samt hvilke foranstaltninger, der tages for at mitigere risici.
7. Godkendelse, sammenfatning og opfølgning
Du er nået til den (foreløbige) afslutning på din DPIA-proces. Husk, at du ikke altid behøver at eliminere enhver risiko. Du kan beslutte, at nogle risici, og endda en høj risiko, er acceptable i betragtning af fordelene ved behandlingen og vanskelighederne med at afbøde risiciene. Rådfør dig med jeres DPO. Og husk, at ledelsen bør godkende konsekvensanalysen, da det er dem, der står til ansvar. Ledelsen bør også beslutte, om konsekvensanalysen helt eller delvist skal offentliggøres. En offentliggørelse kan være med til at skabe bedre gennemsigtighed. Fremfor at offentliggøre hele konsekvensanalysen, kan en offentliggørelse bestå af for eksempel et ledelsesresumé.
Det er det. Du er nu et skridt tættere på at skabe et sikkert miljø for dine registrerede og deres data samt sikre robust compliance i din organisation.
I Wired Relations støtter vi jer gennem alle syv trin i jeres DPIA. Vi hjælper med at organisere og dokumentere hele processen ved implementering af nye systemer.
Book en demo for at se det i praksis.
DPIA-processen er afgørende, når din organisation overvejer et nyt system eller en ny proces. Vi har lavet en online Masterclass i at mestre det. Du lærer, hvordan du sætter din organisation op til processen, hvordan du samarbejder med din organisation, og hvordan du effektivt udfører de enkelte trin.
Tilmeld dig den online Masterclass på engelsk her:
Masterclass I - Tirsdag d. 9. April: Diving into the steps to take
Masterclass II - Torsdag d. 25. April: Seuring buy-in and collaboration
