Konsekvensbedömning om dataskydd

Om en personuppgiftsbehandling kan leda till en hög risk för de registrerade måste du och din organisation göra en konsekvensbedömning om dataskydd. Du kan också behöva begära förhandssamråd med Integritetsskyddsmyndigheten, IMY.

Det är er riskanalys som ligger till grund för bedömningen om en konsekvensbedömning [1] är nödvändig, se avsnittet om säkerhet samt avsnittet om principen om integritet och konfidentialitet. Konsekvensbedömningen är en grundlig genomgång, där ni ska beskriva behandlingen och hur riskerna för de registrerades rättigheter och friheter hanteras. Även om ni inte är skyldiga att göra en konsekvensbedömning så är den ett användbart verktyg för att minska risken att göra fel eller förbise något.

Syftet med en konsekvensbedömning är att identifiera risker, vidta åtgärder för att hantera riskerna och bedöma om behandlingen är proportionerlig i förhållande till de risker som behandlingen medför. Konsekvensbedömning ska utföras av personuppgiftsansvarig innan behandlingen genomförs. Om en konsekvensbedömning har genomförts men risken förändras efterhand kan ni behöva göra en ny konsekvensbedömning.

Om personuppgiftsbehandling som sker med ny teknik, eller som på grund av sin art, omfattning, sammanhang och ändamål, sannolikt kan leda till hög risk för fysiska personers rättigheter och friheter, ska ni genomföra en konsekvensbedömning. Om personuppgiftsbehandlingen innehåller moment eller inslag så att två eller fler av kriterierna nedan är uppfyllda är huvudregeln att en konsekvensbedömning behöver göras [2]

  1. utvärdering eller poängsättning
  2. automatiskt beslutsfattande med rättsliga eller liknande betydande följder
  3. systematisk övervakning
  4. känsliga uppgifter eller uppgifter av mycket personlig karaktär
  5. uppgifter som behandlas i stor omfattning
  6. matchande eller kombinerande uppgiftsserier
  7. uppgifter som rör sårbara registrerade
  8. innovativ användning eller tillämpning av nya tekniska eller organisatoriska lösningar
  9. om behandlingen i sig hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal.

Förhandssamråd [3] med tillsynsmyndigheten (IMY) ska genomföras om en konsekvensbedömning visar att behandlingen skulle leda till hög risk för registrerade om inte personuppgiftsansvarig vidtar åtgärder för att minska riskerna. Förhandssamråd ska begäras före behandlingen påbörjats och när det, trots att personuppgiftsansvarig vidtagit åtgärder, fortfarande föreligger en hög risk med behandlingen som ni som personuppgiftsansvariga inte kan åtgärda/komma runt själva.

Kom ihåg

Vid en konsekvensbedömning ska hela personuppgiftsbehandlingen gås igenom ”från ax till limpa”. Arbetet med en konsekvensbedömning behöver därför startas i god tid innan personuppgiftsbehandlingen inleds. Se till att identifiera behovet av en konsekvensbedömning i ett tidigt skede och gör alla inblandade funktioner i innovationsarbetet medvetna om vad en sådan innebär [4].

IMY har tagit fram en förteckning över situationer när en konsekvensbedömning avseende dataskydd behöver göras.

Förteckning enligt artikel 35.4 i Dataskyddsförordningen (imy.se) Länk till annan webbplats.

Stödfrågor för att göra en konsekvensbedömning om dataskydd

  1. Innebär personuppgiftsbehandlingen en risk för registrerade? Beskriv vilka och vad riskerna innebär. Ta hjälp av de nio kriterierna.
  2. Är riskerna av sådan karaktär att en konsekvensbedömning behöver genomföras?
  3. Vilka tekniska åtgärder behöver vidtas för att minimera riskerna?
  4. Vilka administrativa rutiner behöver vidtas för att minimera riskerna?

Fler frågor finns i Artikel 29-gruppens Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679 (imy.se) Länk till annan webbplats.

Källhänvisningar

[1] Artikel 35 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt IMY:s Förteckning enligt artikel 35.4 i Dataskyddsförordningen (imy.s Länk till annan webbplats.e)

[2] Se skäl 75, 91, 92 och 116 samt Artikel 35 i dataskyddsförordningen (imy.se Länk till annan webbplats.) samt avsnitt III B, s.9-15 i Artikel 29-gruppens Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen "sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679 (imy.se) Länk till annan webbplats.

[3] Se skäl 84 samt Artikel 36 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[4] Jfr Artikel 29-gruppens Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679 (imy.se) Länk till annan webbplats.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: