Innan ett företag behandlar personuppgifter måste företaget i vissa fall göra en konsekvensbedömning avseende dataskydd enligt GDPR. Detta ska ofta ske i samband med användning och lagring av personuppgifterna.
Det finns särskilda krav från Integritetsskyddsmyndigheten för företag eller organisationer som hanterar känsliga personuppgifter i stor skala.
Känsliga personuppgifter är exempelvis uppgifter om en persons hälsa, etniska ursprung, religösa övertygelse och politiska åsikter m.m. Behandling av känsliga personuppgifter är som huvudregel förbjuden (Artikel 9 – GDPR), men det finns vissa undantag. Även företag och organisationer som har omfattande övervakning över de registrerade måste uppfylla dessa krav enligt Integritetsskyddsmyndigheten.
Viktigt att tänka på
I vissa fall behöver den personuppgiftsansvarige utse ett dataskyddsombud. De som arbetar i organsationen och de registrerade vars personuppgifter företaget behandlar, måste bli informerade om dataskyddsombudet. Informationen de behöver är följande:
- Namn
- Kontaktuppgifter
- Arbetsuppgifter för dataskyddsombudet
Har ditt företag sedan tidigare haft ett personuppgiftsombud i enlighet med PUL, måste du anmäla det nya dataskyddsombudet till Integritetsskyddsmyndigheten, eftersom att det inte blir registrerat automatiskt. För att anmäla ett dataskyddsombud till Integritetsskyddsmyndigheten, behöver ni fylla i blanketter som finns på Integritetsskyddsmyndighetens hemsida. Mer information om detta finns i artiklarna 37, 38, 39 i dataskyddsförordningen (GDPR).
Konsekvensbedömning enligt GDPR
Vid lagring av personuppgifter, som innebär stora integritetsrisker, kan företaget eller organisationen behöva samråda med Integritetsskyddsmyndigheten först, innan sådan lagring sker.
Företag måste genomföra en konsekvensbedömning avseende dataskyddet. Med andra ord analysera tänkbara konsekvenser (olycksscenarion), åtgärder för att hantera riskerna, skyddsåtgärder, tillgodose de registrerades rättigheter m.m. På engelska är detta kallat för Data Protection Impact Assessment, även kallat för DPIA.
Det är viktigt att enbart lagra personuppgifter som man har en rättslig grund att behandla. Personuppgifterna bör inte bli lagrade längre än nödvändigt och ska enbart bli behandlade för det syfte de blev insamlade för.
Företag måste göra den konsekvensbedömningen avseende dataskydd som finns beskriven i artikel 35 i GDPR. Detta måste även ske innan företaget börjar med ny behandling av personuppgifter som innebär stora integritetsrisker.