En af de nye ting, der kom med databeskyttelsesforordningen 25. maj i år, var kravet om konsekvensanalyser. En konsekvensanalyse ser bl.a. på nødvendigheden af behandlingen af personoplysninger og håndteringen af de risici, behandlingen medfører.
Som dataansvarlig har man pligt til at foretage en konsekvensanalyse, når der sandsynligvis vil være en høj risiko for fysiske personers rettigheder og frihedsrettigheder i forbindelse med den dataansvarliges behandling af personoplysninger. Det beror med andre ord på en konkret vurdering, som den dataansvarlige skal foretage. Men derudover skal de nationale datatilsyn i alle EU-landene hver især udarbejde lister over situationer, hvor det er obligatorisk at foretage konsekvensanalyser. I det omfang, disse lister omfatter grænseoverskridende behandling, skal Det Europæiske Databeskyttelsesråd (EDPB) komme med en udtalelse om listen, inden den kan offentliggøres.
På det seneste EDPB-møde den 25.-26. september 2018 afgav Rådet udtalelser vedrørende 22 EU-landes lister. Rådets udtalelser om disse lister kan læses her.
Datatilsynet har netop sendt udkastet til en dansk liste til udtalelse hos EDPB. Vi forventer, at udtalelsen vil blive behandlet på EDPBs møde den 4.-5. december 2018, hvorefter den danske liste over, hvilke behandlinger der altid kræver en konsekvensanalyse, vil blive offentliggjort.