Databeskyttelseskonsekvensvurderinger (DPIA) er ikke længere blot et GDPR-krav. Med EU AI Act ((EU) 2024/1689), der trådte i kraft den 1. august 2024, og med Annex III-kategorier, der bliver fuldt gældende den 2. august 2026, opstår et dobbelt-trigger for organisationer, der anvender høj-risiko AI-systemer til behandling af personoplysninger. Denne guide gennemgår, hvornår DPIA er obligatorisk, hvad processen indebærer, og hvordan din virksomhed undgår kostbare compliance-fejl.
1. GDPR Art. 35 DPIA-pligt: Hvornår er det obligatorisk?
Databeskyttelsesforordningen (GDPR) artikel 35 fastslår, at en DPIA er obligatorisk, når en behandling "sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder." Forordningen specificerer tre situationer, der altid udløser kravet:
Kilde: GDPR art. 35, stk. 3, Europa-Parlamentets og Rådets forordning (EU) 2016/679 — [https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A32016R0679](https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A32016R0679)
Disse tre situationer er ikke udtømmende. Artikel 29-arbejdsgruppen (nu EDPB) har i retningslinjer WP248 rev.01 opstillet ni kriterier, og hvis en behandling opfylder to eller flere af disse, bør der gennemføres en DPIA. AI-systemer i HR-kontekster opfylder typisk tre til fem af disse kriterier på én gang.
2. Datatilsynets liste over behandlinger, der kræver DPIA (sort liste)
Datatilsynet i Danmark har i overensstemmelse med GDPR art. 35, stk. 4, offentliggjort en liste over behandlingsaktiviteter, der altid kræver en DPIA forud for behandlingens iværksættelse. Listen omfatter bl.a.:
Kilde: Datatilsynet, "Liste over behandlingsaktiviteter, der kræver en konsekvensanalyse" — [https://www.datatilsynet.dk/hvad-siger-reglerne/vejledninger/konsekvensanalyse](https://www.datatilsynet.dk/hvad-siger-reglerne/vejledninger/konsekvensanalyse)
Praktisk konsekvens: En virksomhed, der implementerer et AI-drevet rekrutteringssystem uden forudgående DPIA, overtræder GDPR art. 35 og kan ifalde betydelige GDPR-bøder under den øvre sanktionskategori i GDPR art. 83, stk. 4 (separat fra eventuelle AI Act-sanktioner).
3. AI-systemer og "stor-skala behandling" samt "systematisk overvågning"
AI-systemer behandler pr. definition data i stor skala. Et rekrutteringsalgoritme, der screener tusindvis af CV'er, opfylder automatisk kriteriet om stor-skala behandling. Et performance management-system, der løbende analyserer medarbejdernes output, udgør systematisk overvågning.
Tre centrale EDPB-kriterier, AI typisk udløser:
| Kriterium | Eksempel i HR-AI |
|---|---|
| Automatiseret beslutning med væsentlig effekt | AI-screening frasorterer kandidater automatisk |
| Stor-skala behandling | 500+ ansøgere analyseret pr. månedlig rekrutteringsrunde |
| Systematisk overvågning | Løbende sentiment-analyse af medarbejderkommunikation |
| Særlige kategorier | Kønsskæv scoring baseret på historisk træningsdata |
| Behandling af sårbare grupper | Jobsøgende er i en sårbar magtposition |
Kilde: EDPB Guidelines on DPIA (WP248 rev.01) — [https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-wp248_en](https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-wp248_en)
4. EU AI Act Annex III + GDPR Art. 35: Dobbelt-trigger ved høj-risiko AI
Med EU AI Act ((EU) 2024/1689) opstår et nyt lag af obligatoriske vurderinger. Forordningens artikel 9 pålægger udbydere og deployere af høj-risiko AI-systemer at gennemføre et løbende risikoledelsessystem. For Annex III-systemer, der behandler personoplysninger, sker der et dobbelt-trigger:
Annex III kategori 4 (HR og beskæftigelse) — gælder fra 2. august 2026 — klassificerer som høj-risiko AI:
Kilde: EU AI Act (EU) 2024/1689, Annex III, pkt. 4 — [https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX:32024R1689](https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX:32024R1689)
Konsekvensen er klar: Anvender din virksomhed et AI-system, der falder ind under Annex III og simultant behandler personoplysninger, er I forpligtet til DPIA under GDPR art. 35 OG til risikoledelsessystem under EU AI Act art. 9. De to vurderinger kan koordineres, men begge er obligatoriske.
Tidslinje for EU AI Act: