Konsekvensanalyse vedrørende databeskyttelse

Transkript

1 Konsekvensanalyse vedrørende databeskyttelse [Projektets navn] 1

2 Indhold INDLEDNING OG FORMÅL... 3 RESUMÉ... 3 BESKRIVELSE AF BEHANDLINGERNE... 3 VURDERING AF RISICI FORBUNDET MED BEHANDLINGERNE... 3 Risici for de registrerede... 3 Risici for den dataansvarlige... 4 MITIGERENDE HANDLINGER... 4 KONKLUSION... 4 BILAG... 5 info@gefion-gym.dk, 2

3 Indledning og formål [Overordnet beskrivelse af projektet Formålet med konsekvensanalysen Det vurderes, at der er pligt til / det er ønskeligt at lave en konsekvensanalyse for projektet eller en del af projektet] Resumé [Ved større projekter bør der være et resumé med de overordnede konklusioner i konsekvensanalysen] Beskrivelse af behandlingerne [En systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige o en beskrivelse af kategorier af personoplysninger o en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene o angivelse af den dataansvarlige o angivelse af eventuelle databehandlere o angivelse af antal berørte registrerede o angivelse af, om der anvendes nye former for teknologi o angivelse af behandlingshjemler i persondataforordningen og særlovgivningen] Vurdering af risici forbundet med behandlingerne Risici for de registrerede [Identifikation og beskrivelse af risici for de registrerede, herunder o uønskede hændelser, f.eks. forringelse af datakvalitet, brug af oplysninger til uforenelige formål, datalæk, uberettiget videregivelse, uautoriseret adgang til personoplysningerne, dataophobning, utilsigtet sletning, manglende kontrol med (under)databehandlere osv. info@gefion-gym.dk, 3

4 o behandlingsaktiviteternes karakter (særlige former for behandlinger, f.eks. offentliggørelse, kontrolforanstaltninger, samkøring af personoplysninger i kontroløjemed, behandlinger over for børn, profilering, (tv)overvågning) samt overførsel til tredjelande m.v. o oplysningernes karakter (følsomme/semifølsomme/ikke-følsomme personoplysninger) o omfang (antal berørte registrerede og antal behandlinger) o sammenhæng (herunder f.eks. brug af ny, uprøvet teknologi eller teknologi, der erfaringsmæssigt indeholder risici) o formål o skadevirkning (f.eks. materiel eller immateriel skade, forfølgelse, stigmatisering, forskelsbehandling, identitetstyveri eller svig, tab af omdømme, tab af fortrolighed af oplysninger omfattet af tavshedspligt, ophævelse af pseudonymisering, andre betydelige økonomiske og sociale konsekvenser)] Risicienes oprindelse, karakter, særegenhed og alvor skal vurderes] Risici for den dataansvarlige [Påvirkning af den dataansvarliges omdømme Sanktioner rettet mod den dataansvarlige (straf/erstatning)] Mitigerende handlinger [Beskrivelse af de foranstaltninger, der påtænkes for at imødegå de identificerede risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af persondataforordningen, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser Tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med reglerne Privacy by design og by default Privatlivsfremmende teknologier ISO certificering o.a. relevante certificeringer Inddragelse af de registrerede, DPO en og Datatilsynet Plan for opfølgning/ajourføring af konsekvensanalysen] Konklusion [ ] info@gefion-gym.dk, 4

5 Bilag [Relevante bilag, herunder f.eks. o nærmere beskrivelse af behovet for en konsekvensanalyse, o korrespondance med Datatilsynet, o dataflowanalyse etc.] info@gefion-gym.dk, 5