Det finns situationer när företag behöver göra en konsekvensbedömning innan en behandling av personuppgifter sker. Dessutom finns det tillfällen där företag behöver begära ett förhandssamråd med den svenska tillsynsmyndigheten (IMY) enligt Artikel 36 i GDPR. Innan ett företag begär ett sådant förhandssamråd, ska företaget eller eventuellt dataskyddsombud göra en konsekvensbedömning. Vid tillfällen där det medför en stor risk för individer och deras rättigheter samt friheter vid en behandling av dennes personuppgifter, ska en konsekvensbedömning bli utförd. Ett företag kan göra flera konsekvensbedömningar för olika behandlingar.
När företag behöver göra en konsekvensbedömning enligt GDPR
Det är flera faktorer som företag behöver ta i beaktande vid bedömningen av om det är nödvändigt att göra en konsekvensbedömning. Exempelvis omfattningen, syftet och vilken typ av behandling det gäller. När det gäller ny teknik, är det vanligt att behöva göra en konsekvensbedömning. Detta gäller särskilt när företag skapar AI-robotar eller liknande som innebär att tekniken kan komma fram till automatiserade beslut vid exempelvis profilering. Detsamma gäller företag som behandlar känsliga personuppgifter i stor omfattning, såsom uppgifter om hälsa. Det finns vissa vägledande kriterier för när företag behöver göra en konsekvensbedömning enligt GDPR.
Några delar som ska framgå av en konsekvensbedömning enligt Artikel 35 i GDPR är:
- En förklaring av behandlingen.
- En analys och beskrivning av behandlingen, om den är proportionell samt nödvändig.
- Vilka risker som behandlingen innebär och hur företaget ska se till att riskerna minimeras. Exempelvis vilka organisatoriska och säkerhetsåtgärder som företaget vidtagit.
Vissa företag arbetar tillsammans som gemensamt personuppgiftsansvariga och det är tillåtet att göra en gemensam konsekvensbedömning. Med andra ord behöver de inte göra en varsin separat. Detta är framförallt vanligt för myndigheter.
