Senest opdateret: 2026-05-29 · Status: Skeleton under juridisk review.
Hvornår skal du lave en DPIA?
GDPR Art. 35(1) kræver DPIA når behandlingen sandsynligvis indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. For HR-tech er det relevant for systemer der bruges til:
- Automatiseret rekruttering, screening eller CV-rangering (EU AI Act Annex III(4)(a))
- Performance-vurdering eller arbejdstildelinger (Annex III(4)(b))
- Overvågning af medarbejder-adfærd eller produktivitet
- Profilering eller automatiserede beslutninger med juridisk effekt (GDPR Art. 22)
DPIA-strukturen (8 sektioner)
- Behandlingsbeskrivelse — systemets formål, datatyper, kategorier af registrerede, modtagere, opbevaringsperioder.
- Nødvendighed + proportionalitet — er behandlingen lovlig og minimum-invasiv per Art. 5?
- Risikovurdering — sandsynlighed og alvor af krænkelser af rettigheder og frihedsrettigheder.
- Foranstaltninger — tekniske og organisatoriske kontroller (pseudonymisering, kryptering, adgangskontrol, audit-logning).
- Konsultation af registrerede — hvor relevant, jf. Art. 35(9).
- EU AI Act FRIA-koordinering — for deployere af Annex III høj-risiko AI-systemer skal FRIA dække fundamental-rights-aspekter parallelt.
- Konklusion + restrisiko — hvis høj restrisiko, kræver Art. 36 forudgående konsultation med Datatilsynet.
- Godkendelse + revisions-kadence — DPO + dataansvarlig signaturer, revurdering ved væsentlige ændringer.
Hvad PowerQuant leverer
Module 1 evidens-pakken (10.999 kr fast-pris, 5 hverdage) inkluderer ikke en færdig DPIA, men leverer hele grundlaget: AI-inventar, datakort, role-based controls memo og gap-analyse. Det er typisk 70-80% af det din DPO eller eksterne juridiske rådgiver skal bruge for at producere selve DPIA-dokumentet.
Vil du have en færdig DPIA? Det er en juridisk leverance vi koordinerer via vores eksterne advokatfirma — kontakt os via kontaktsiden for tilbud.