Hvornår udløser AI pligt til at lave en konsekvensanalyse?

Hvornår udløser AI pligt til at lave en konsekvensanalyse?

Compliance Legal Tech og AI EU-ret Persondata og cybersikkerhed
AI-projekter udløser ofte DPIA-pligt efter GDPR, fordi ny teknologi kombineres med profilering, stort databehandlingsomfang eller følsomme oplysninger. Få overblik over kriterierne, kravene til indhold og en praktisk, modulær tilgang, der styrker compliance uden at bremse implementeringen.
TN
Tim Krarup Nielsen

AI-baserede behandlinger af personoplysninger vil ofte udløse pligt til at gennemføre en konsekvensanalyse (DPIA) efter GDPR, før behandlingen påbegyndes. Kravet afhænger af, om behandlingen sandsynligvis medfører høj risiko for de registreredes rettigheder. Mange AI-implementeringer rammer flere højrisikokriterier, men en konkret vurdering er afgørende.

Pligt til konsekvensanalyse ved AI efter GDPR art. 35

En DPIA er en systematisk vurdering af behandlingsaktiviteten, dens nødvendighed og proportionalitet samt de risici, den indebærer, og de foranstaltninger, der reducerer disse risici. Hvis en DPIA er påkrævet, må behandlingen ikke starte, før analysen er færdig og risici håndteret tilstrækkeligt.

I AI-konteksten rammer man som udgangspunkt kriteriet om anvendelse af ny teknologi. Ofte opfyldes yderligere kriterier, fx behandling af særlige kategorier, behandling i stort omfang eller behandling vedrørende sårbare registrerede. Derfor vil AI-projekter i praksis ofte kræve en DPIA, men simple løsninger med begrænset databehandling kan falde uden for – forudsat en dokumenteret, konkret vurdering.

Kriterier for høj risiko og myndighedspraksis

EDPB og Datatilsynet peger på en række indikatorer for høj risiko. Som hovedregel udløses DPIA-pligt, hvis mindst to kriterier er opfyldt, og Datatilsynet har desuden publiceret en positivliste over behandlinger, der altid kræver DPIA.

Ved AI bør man derfor tidligt screene projektet op imod kriterierne og positivlisten. Det styrker den interne beslutningsproces, og det reducerer risikoen for forsinkelse i implementeringen.

Typiske højrisikokriterier omfatter blandt andet:

  • Evaluering eller scoring, herunder profilering og forudsigelser.
  • Automatiske afgørelser med retlig eller tilsvarende væsentlig virkning.
  • Systematisk overvågning.
  • Behandling af særlige kategorier eller meget personlige oplysninger.
  • Behandling i stort omfang.
  • Matching eller kombination af datasæt.
  • Oplysninger om sårbare registrerede.
  • Anvendelse af ny teknologi.

Opfyldes to eller flere af disse, taler det stærkt for DPIA-pligt. Er der tvivl, bør risikoniveauet dokumenteres og genbesøges ved ændringer i formål, dataomfang eller modeladfærd.

Gennemførelse af DPIA i praksis og typiske faldgruber

En forsvarlig DPIA forudsætter overblik over datakilder, dataflow, adgangsstyring, modelarkitektur og integrationer. Juridisk kræves afklaring af roller (dataansvarlig/databehandler), behandlingsgrundlag, databehandleraftaler, licens- og tjenestevilkår samt privatlivspolitikker. Overføres data uden for EU/EØS, bør der udarbejdes Transfer Impact Assessment.

Faldgruber opstår ofte, når tekniske og forretningsmæssige forudsætninger ikke er modne, eller når analysen reduceres til skemaudfyldelse uden reel risikovurdering. Involvering af de rette kompetencer – juridiske, sikkerhedsmæssige, tekniske og forretningsmæssige – samt ledelsesbeslutninger om risikotolerance er centrale for en holdbar konklusion.

Skabeloner, governance og effektivisering af arbejdet

Der findes anvendelige DPIA-skabeloner fra EDPB, Datatilsynet og CNIL. Skabelonerne er et godt udgangspunkt, men kræver tilpasning til organisationens governance, risikokriterier og portefølje af AI-use cases. En modulær tilgang – hvor generiske dele genbruges på tværs af løsninger – kan reducere omkostninger og sikre konsistens.

Leverandører kan med fordel stille en systemnær DPIA til rådighed, som kunderne kan bygge videre på. Det giver transparens om model, data og kontroller og kan blive en reel konkurrencefordel. Læs mere i Datatilsynets vejledning om konsekvensanalyser: https://www.datatilsynet.dk/regler-og-vejledning/behandlingssikkerhed/konsekvensanalyse.

Læs hele artiklen hos HortenDahl →
Søgeord
GDPR, Dokumentation, Databehandleraftale, Risikovurdering, GDPR art. 9, Datatilsynet, DPIA, Databeskyttelse, Konsekvensanalyse, Dataansvarlig, GDPR art. 35, Privacy by design, Profilering, EDPB, Personoplysninger, GDPR art. 22, Særlige kategorier, Databehandler, Proportionalitet, Tekniske og organisatoriske foranstaltninger, Automatiske afgørelser, Privatlivspolitik, Compliance, EU EØS, Tredjelandeoverførsel, Transfer impact assessment, Tia, Nødvendighed, AI løsninger, Dataflow, Systematisk overvågning, Sårbare registrerede, Behandling i stort omfang, Ny teknologi, Matching af datasæt, Datatilsynets positivliste

Relaterede artikler

EU’s Toolkit til kønsneutral klassificering af jobs
Littler Danmark

EU’s Toolkit til kønsneutral klassificering af jobs

EU’s løngennemsigtighedsdirektiv presser virksomheder til kønsneutral lønfastsættelse. EU-Kommissionen og EIGE lancerer en værktøjskasse med skalerbare metoder til jobevaluering og dokumentation. Danmark forventer ikrafttræden i 2027, hvilket kræver rettidig compliance.
C-118/24: CJEU clarifies judicial review and generic classification under EU pharma rules
Plesner

C-118/24: CJEU clarifies judicial review and generic classification under EU pharma rules

EU-Domstolen bekræfter medlemsstaternes procesautonomi ved prøvelse af decentrale lægemiddelgodkendelser og åbner for generisk godkendelse af kemiske præparater med biologisk referenceprodukt, når kravene i artikel 10 er opfyldt. Væsentlige konsekvenser for strategi og compliance.
New development in Danish administrative practice on Environmental Impact Assessment (EIA)
Plesner

New development in Danish administrative practice on Environmental Impact Assessment (EIA)

Energiklagenævnet kræver, at VVM-rapporter for olie- og gasprojekter beskriver klimapåvirkninger fra nedstrøms drivhusgasemissioner (scope 3). Fortolkningen af VVM-direktivet er ny i Danmark og kan få bred betydning, men retlig rækkevidde og metodekrav er fortsat uklare.
When is Information deemed “public” under the Market Abuse Regulation?
Moalem Weitemeyer

When is Information deemed “public” under the Market Abuse Regulation?

EU-Domstolen præciserer, at snæver deling eller nylige oplysninger tilgængelige kun via aktindsigt ikke gør information offentlig efter MAR. Dommen efterlader dog et åbent spørgsmål om, hvorvidt insiderinformation kun ophører ved formel udstederoffentliggørelse, hvilket skærper kravene til compliance.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Protector Forsikring Danmark
Spændende karrieremulighed indenfor opgørelse af personskade og ansvarsvurderinger
Protector Forsikring Danmark
Sundhedsdatastyrelsen
Erfaren databeskyttelsesjurist – vær med til at forme fremtidens digitale sundhed
Sundhedsdatastyrelsen
Domstolsstyrelsen
Jurastuderende til Domstolsstyrelsen
Domstolsstyrelsen
Politiets Efterretningstjeneste
Jurister til PET
Politiets Efterretningstjeneste
Erhvervsministeriet
Kontorchef til kontor for tilsyn med betalinger og finansiel teknologi
Erhvervsministeriet
Sundhedsdatastyrelsen
Erfaren databeskyttelsesjurist – vær med til at forme fremtidens digitale sundhed - i Aalborg
Sundhedsdatastyrelsen
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere - og holder dig foran.
Opret gratis profil →