GDPR – Bedömningar

Konsekvensbedömning av dataskydd (DPIA)

Enligt GDPR ska den personuppgiftsansvarige och eventuellt dataskyddsombud i vissa fall utföra en konsekvensbedömning av dataskydd. Denna bedömning ska bli utförd före varje aktivitet som innebär en form av behandling av personuppgifter, som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Utföra en konsekvensbedömning av dataskydd 

En konsekvensbedömning av dataskydd handlar om att identifiera och minimera risker som är förknippande med behandling av personuppgifter. Detta avser en pågående process som den personuppgiftsansvarige ska tillämpa regelbundet på sin behandling av personuppgifter. Målet är att identifiera och begränsa risker med behandlingen. På engelska är detta kallat för Data Protection Impact Assessment (DPIA).

En konsekvensbedömning av dataskydd sker i två (2) steg:

  • Det första steget går ut på att genomföra ett så kallat nödvändighetstest.
  • Det andra steget går ut på att genomföra en konsekvensbedömning av dataskydd.

Vi arbetar med att skriva och granska avtal till företag. Detta är några avtal vi skriver:

Syftet med bedömningen

Syftet med att utföra en konsekvensbedömning av dataskydd är att bedöma risknivån för personuppgifterna som den personuppgiftsansvarige behandlar. Det kan även handla om en typ av behandling av personuppgifter som företaget avser att utföra. Denna typ av bedömning ska identifiera risker med att behandla viss data och minimera riskerna.

När ska en konsekvensbedömning av dataskydd bli utförd?

Enligt artikel 35 i GDPR ska den personuppgiftsansvarige utföra en konsekvensbedömning av dataskydd bland annat när ny teknik blir använd för behandlingen. Det ska även bli utfört vid behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Bedömningen ska bli utförd innan behandlingen blir utförd. Den ska innefatta en analys av den planerade behandlingen och hur personuppgifter kommer att bli använda. Analysen ska resultera i en bedömning av eventuella konsekvenser för skyddet av personuppgifter.

Om företaget har utsett ett dataskyddsombud, ska denne bli rådfrågad vid genomförande av en konsekvensbedömning avseende dataskydd.

Det finns vissa specifika situationer som kräver att en konsekvensbedömning av detta slag ska bli utförd. Enligt artikel 35 i GDPR framgår att en konsekvensbedömning av dataskydd ska bli utförd om:

  • Övervakning av en allmän plats sker systematiskt och i stor omfattning.
  • Behandlingen i stor omfattning avser personuppgifter som rör fällande domar i brottmål. Detsamma gäller om det avser lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder.
  • Behandlingen i stor omfattning avser personuppgifter som avslöjar känsliga personuppgifter. Exempelvis etniskt ursprung, politiska åsikter, religiös övertygelse eller uppgifter om hälsa.
  • Automatisk behandling eller profilering blir använt systematiskt och omfattande, där beslut på dessa grunder har rättsliga följder för fysiska personer.

Inför varje ny behandlingsaktivitet eller väsentlig ändring av behandlingsproceduren, måste nödvändigheten av en konsekvensbedömning av dataskydd bli bedömd. Det sker genom att utföra ett nödvändighetstest. Om det av bedömningen framgår att en konsekvensbedömning är nödvändig att utföra, måste det bli utfört detaljerat.

Vad ska en konsekvensbedömning av dataskydd innehålla?

Genom en konsekvensbedömning, ska företaget noggrant beskriva den tilltänkta behandlingen och göra en bedömning av lagligheten. Särskilt avseende rättslig grund, omfattning, ändamål och syfte med behandlingen. En analys av potentiella risker och en åtgärdsplan för att reducera konsekvenser som kan uppstå genom behandlingen, ska också bli utförd.

En konsekvensbedömning av dataskydd ska innehålla bland annat följande:

  • Om tillämpligt, en beskrivning av den personuppgiftsansvariges berättigade intresse till behandlingen av personuppgifterna som bedömningen omfattar.
  • En systematisk beskrivning av den planerade behandlingen och syftet med behandlingen.
  • En bedömning av behovet av behandlingen i förhållande till syftet.
  • Bedömning av proportionaliteten hos behandlingen i förhållande till syftet.
  • En bedömning av eventuella risker för de registrerades rättigheter och friheter på grund av den planerade behandlingen.
  • Planerade åtgärder som företaget ska vidta för att hantera riskerna. Exempelvis skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa att personuppgifterna är skyddade samt att företaget efterlever GDPR.

När det är lämpligt, ska företaget inhämta de registrerades synpunkter om den avsedda behandlingen. Detta får dock inte påverka skyddet av allmänna eller kommersiella intressen eller säkerheten i behandlingen.

Företaget måste även genomföra en översyn vid behov för att avgöra om behandlingen blir genomförd i enlighet med den genomförda konsekvensbedömningen avseende dataskydd. Detta gäller särskilt när den risk som behandlingen leder till blir förändrad.

Steg 1: Nödvändighetstest

Nödvändighetstestet måste bli utförd och dokumenterad inför varje ny behandlingsaktivitet och varje väsentlig ändring av behandlingsprocedur. Testet avser att ta reda på om en konsekvensbedömning av dataskydd är nödvändig eller inte. Den personuppgiftsansvarige och eventuellt anlitat dataskyddsombud ansvarar för att utföra nödvändighetstestet. De ansvarar även för att utvärdera aktiviteterna som är tilltänkta. Ett nödvändighetstest ska bli utfört vid planeringen av en ny behandlingsaktivitet och inför varje väsentlig ändring av behandlingsprocedur. Genomförandet och resultatet ska dokumenteras i ett internt register över utförda behandlingsaktiviteter. En väsentlig ändring av behandlingsproceduren inträffar om exempelvis en ändring sker avseende:

  • Kategorierna av behandlade personuppgifter,
  • Syftet och ändamålet med behandlingen,
  • Rättsliga grunder för behandlingen,
  • Befintliga mjuk- eller hårdvarulösningar, tjänsteleverantörer eller andra aktörer. Detta gäller om ändringen påverkar databehandlingen eller lagringen av data.
Steg 2: Konsekvensbedömning av dataskydd

Om nödvändighetstestet resulterar i att en konsekvensbedömning av dataskydd måste bli utförd, utgör det en förutsättning för att behandlingen i fråga ska vara tillåten.

Genom att utföra en konsekvensbedömning av dataskydd, resulterar det i en översikt för behandlingen ifråga. Det är också en riskbedömning och analys av lagligheten. Vid identifieringen av riskerna med behandlingen ifråga, ska vissa åtgärder bli beaktade. Särskilt sådana som minskar risker och mildrar potentiella negativa effekter av behandlingen för den registrerade. Exempelvis avseende friheter och rättigheter. Dessutom ska tilltänkta organisatoriska och tekniska åtgärder bli analyserade.

Den personuppgiftsansvarige och eventuellt anlitat dataskyddsombud ansvarar för genomförandet av en konsekvensbedömning.

Ett konsekvensbedömning avseende dataskydd ska bli utförd vid planeringen av en ny behandlingsaktivitet och inför varje väsentlig ändring av behandlingsprocedur.

Det är möjligt att använda exempelvis den franska dataskyddsmyndighetens (CNIL) digitala verktyg för att genomföra en konsekvensbedömning. (eller annat lämpligt offentliggjort ramverk som utvecklats av EU:s dataskyddsmyndigheter och branschspecifika ramverk).

Implementering av förfaranden som framgår i Working Paper 248 av artikel 29-arbetsgruppen för skydd av personuppgifter bör också beaktas vid utförandet av en konsekvensbedömning samt användas för vidare vägledning i processen.

Utförd konsekvensbedömning måste vara utförligt dokumenterad i interna register för respektive process.

Samråd med tillsynsmyndigheten

I vissa fall krävs enligt artikel 36 GDPR att förhandssamråd sker före behandling med IMY eller annan ansvarig tillsynsmyndighet. Det utgör ett krav om en konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR visar att behandlingen skulle leda till en hög risk, om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken. Den personuppgiftsansvarige (eller dataskyddsombudet) ansvarar för att bedöma behovet av förhandssamråd.

Granskning av en utförd konsekvensbedömnning

Den personuppgiftsansvarige (eller dataskyddsombudet) bör regelbundet granska grunderna för utförda konsekvensbedömningar. Detsamma gäller de åtgärder som har blivit definierade för att minimera riskerna med behandlingen. Resultatet av en utförd konsekvensbedömning bör bli granskad inför väsentliga procedurförändringar.

Om ni behöver hjälp med att upprätta en konsekvensbedömning, kan vi hjälpa till. Arbetet sker på distans och priserna är alltid fasta. 

Mer information

Bedömning av berättigat intresse

Innan företaget behandlar personuppgifter med stöd i berättigat intresse som den rättsliga grunden, måste företaget göra en analys och bedömning i varje enskilt fall. Bedömningen ska alltid bli dokumenterad i skrift, för att kunna styrka att företaget följer principen om ansvarsskyldighet. Syftet med bedömningen är att ta reda på om företagets intresse väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter, och att visa hur bedömningen har gått till. 

Vill du veta mer?

Lär dig mer

Gratis juridikskola

Vi driver juridikskolor som är gratis för företagare på LinkedIn och InstagramPå vår hemsida publicerar vi även olika juridiska quiz där kan du testa din kunskaper inom GDPR. 

Rulla till toppen
Call Now Button