Kapitel 11 1 Konsekvensanalyser og høring af tilsynsmyndighederne
Vil en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, sit omfang, sin sammenhæng og sit formål, sandsynligvis indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
Stk. 2 Analysen skal indeholde en generel beskrivelse af de planlagte behandlingsaktiviteter, en vurdering af risiciene for de registreredes rettigheder, de foranstaltninger, der påtænkes for at imødegå disse risici, garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne lov, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.
Den dataansvarlige eller databehandleren skal høre tilsynsmyndigheden inden behandling af personoplysninger, der vil indgå som en del af et nyt register, der skal oprettes, når
-
1) en konsekvensanalyse vedrørende databeskyttelse, jf. § 25, viser, at behandlingen vil føre til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen, eller
-
2) den type behandling, navnlig ved brug af nye teknologier, mekanismer eller procedurer, indebærer en høj risiko for de registreredes rettigheder.
Stk. 2 Finder tilsynsmyndigheden, at den planlagte behandling ikke vil overholde loven, herunder navnlig hvis den dataansvarlige ikke tilstrækkeligt har identificeret eller begrænset risikoen, giver tilsynsmyndigheden inden for en periode på op til 6 uger efter modtagelse af anmodningen om høring den dataansvarlige og, hvor det er relevant, databehandleren skriftlig rådgivning. Tilsynsmyndigheden kan i den forbindelse anvende enhver af sine beføjelser, jf. kapitel 20. Denne periode kan forlænges med 1 måned under hensyntagen til den påtænkte behandlings kompleksitet. Tilsynsmyndigheden underretter den dataansvarlige og, hvor det er relevant, databehandleren om enhver sådan forlængelse senest 1 måned efter modtagelse af anmodningen om høring sammen med begrundelsen for forsinkelsen.
Stk. 3 Tilsynsmyndighederne opstiller en liste over de behandlingsaktiviteter, hvor der i henhold til stk. 1 skal foretages en forudgående høring.