Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at en dataansvarlig har pligt til at foretage en konsekvensanalyse, når der sandsynligvis vil være en høj risiko for fysiske personers rettigheder og frihedsrettigheder i forbindelse med den dataansvarliges behandling af personoplysninger. Det beror dermed på en konkret vurdering, hvornår der skal foretages en konsekvensanalyse.
Derudover skal de nationale datatilsyn i alle EU-landene hver især udarbejde lister over situationer, hvor det er obligatorisk at foretage konsekvensanalyser. Datatilsynene skal indgive disse lister til EDPB, jf. artikel 35, stk. 4. I det omfang disse lister omfatter grænseoverskridende behandling, skal EDPB komme med en udtalelse om listen, inden den kan offentliggøres.
På det seneste EDPB-møde den 25.-26. september 2018 afgav EDPB udtalelser vedrørende 22 EU-landes lister.
Læs rådets udtalelser om listerne.
Det danske datatilsyn har netop sendt et udkast til en dansk liste til udtalelse hos EDPB. Det forventes, at udkastet vil blive behandlet på EDPB's møde den 4.-5. december 2018. Herefter vil den danske liste over, hvilke behandlinger der altid kræver en konsekvensanalyse, blive offentliggjort.