Bedömningar som behöver bli genomförda enligt GDPR

Här har vi sammanfattat information om olika bedömningar som behöver bli genomförda enligt GDPR. Företag som behandlar personuppgifter behöver enligt GDPR genomföra olika typer av konsekvensbedömningar och riskbedömningar. Dessa kan behöva bli genomförda före en behandling, men också under en pågående behandling.

Bedömningar som behöver bli genomförda enligt GDPR

Syftet med bedömningarna är främst att analysera konsekvenser och risker av behandlingen. Dessutom är det ett sätt för företaget att dokumentera sina motiveringar till behandlingen.

Nedan följer en sammanfattning av följande tre vanliga bedömningar som behöver bli genomförda enligt GDPR:

– Konsekvensbedömning av dataöverföringar. På engelska är detta kallat för Transfer Impact Assessment, förkortat TIA.

– Konsekvensbedömning av dataskydd. På engelska är detta kallat för Data Protection Impact Assessment, förkortat DPIA.

– Bedömning av berättigat intresse. På engelska är detta kallat för Legitimate Interest Assessment, förkortat LIA.

Konsekvensbedömning av dataöverföringar (TIA)

Denna bedömning ska bli utförd av det företag som avser att överföra personuppgifter till ett tredjeland. Ett tredelad är ett land utanför EU/EES-området, där GDPR inte gäller. Enligt GDPR får företag enbart överföra personuppgifter till ett tredjeland, som EU-kommissionen inte har beslutat säkerställer en adekvat skyddsnivå, om företaget har vidtagit lämpliga skydds- och säkerhetsåtgärder. Överföringen av personuppgifterna måste dessutom vara villkorad av att de registrerade kommer att ha effektiva rättsmedel tillgängliga avseende behandlingen av deras personuppgifter, inklusive lagstadgade rättigheter.

En konsekvensbedömning av dataöverföringar ska bli utförd innan överföringen sker. Denna typ av bedömning handlar främst om att analysera lagar och regler i det tredjelandet. Detsamma gäller mottagaren av personuppgifterna, riskerna med överföringen och om de registrerades rättigheter kan bli tillgodosedda i det tredjelandet.

En genomförd konsekvensbedömning av dataöverföringar ska bli regelbundet kontrollerad. Syftet med detta är för att undersöka om något i det tredjelandet har blivit förändrat. Därför är det viktigt att hålla sig uppdaterad om relevanta lagändringar och nyheter om dataskydd i de länder dit personuppgifter har blivit överförda.

Varje utförd konsekvensbedömning av dataöverföringar måste bli skriftligen dokumenterad. Dessutom ska företag även upprätta tydliga skriftliga riktlinjer samt interna rutiner, för att säkerställa en korrekt utförd konsekvensbedömning.

Konsekvensbedömning av dataskydd (DPIA)

Om en behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, ska en konsekvensbedömning av dataskydd bli utförd. Denna bedömning ska bli utförd av den personuppgiftsansvarige och eventuellt dataskyddsombud. En konsekvensbedömning av dataskydd ska bli utförd innan den tilltänkta behandlingen äger rum. Syftet är att identifiera och minimera risker som är förknippande med behandlingen ifråga. I vissa fall behöver företaget även ansöka om förhandssamråd med IMY. Bestämmelser om konsekvensbedömning och förhandssamråd framgår i artiklarna 35 och 36 GDPR.

Något som är viktigt att tänka på, är att en konsekvensbedömning av dataskydd även utgör en pågående process. Den ska bli tillämpad regelbundet, även under en pågående behandling. Syftet med detta är att identifiera, minimera och begränsa risker med behandlingen. Resultatet av bedömningen bör bli granskad inför väsentliga procedurförändringar. I en konsekvensbedömning analyserar företaget risker med behandlingen och hur det går att förebygga dem, för att skydda de registrerades fri- och rättigheter. Företag måste till exempel vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder.

En konsekvensbedömning ska bli utförd vid planeringen av en ny behandlingsaktivitet och inför varje väsentlig ändring av behandlingsprocedur. En väsentlig ändring av behandlingsproceduren inträffar om exempelvis en ändring sker avseende:

– kategorierna av behandlade personuppgifter,

– syftet och ändamålet med behandlingen,

– rättsliga grunder för behandlingen,

– befintliga mjuk- eller hårdvarulösningar, tjänsteleverantörer eller andra aktörer och ändringen påverkar databehandlingen eller lagringen av data.

Företag bör alltid genomföra en konsekvensbedömning vid behandling av känsliga personuppgifter. Dessutom bör en konsekvensbedömning alltid bli utförd om risken med en pågående behandling av personuppgifter blir förändrad. Det bör även bli utfört för pågående behandlingar som ännu inte har blivit analyserade genom en utförd konsekvensbedömning.

En konsekvensbedömning av dataskydd ska bli utförd i två steg:

1) Genomförande av ett nödvändighetstest, för att avgöra om en utförlig konsekvensbedömning behöver bli utförd.

2) Genomförande av en konsekvensbedömning av dataskydd.

En konsekvensbedömning av dataskydd ska innefatta en beskrivning av hur personuppgifter kommer att bli använda samt en analys av den planerade behandlingen. Analysen ska resultera i en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

Enligt artikel 36 GDPR måste ett förhandssamråd i vissa fall ske före behandling. Det är den personuppgiftsansvarige (eller dataskyddsombudet) som ansvarar för att bedöma behovet av förhandssamråd. Förhandssamråd sker tillsammans med Integritetskyddsmyndigheten eller annan ansvarig tillsynsmyndighet. Det ska ske om en konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR visar att behandlingen skulle leda till en hög risk. Detta gäller under förutsättning att den personuppgiftsansvarige inte vidtar åtgärder för att minska risken.

Bedömning av berättigat intresse (LIA)

När företaget vill behandla personuppgifter med stöd intresseavvägning som rättslig grund, måste företaget utföra en bedömning av berättigat intresse. Företaget ifråga ansvarar för att skydda de registrerades rättigheter och intressen.

Syftet med utförandet av en bedömning av berättigat intresse, är att företaget ska:

– identifiera att det finns ett berättigat intresse,

– kunna visa att behandlingen är nödvändig för att uppnå det berättigat intresset, och

– kunna balansera det identifierade intresset gentemot de registrerades intressen, fri- och rättigheter.

Enligt GDPR finns det några identifierade berättigade intressen, bland annat IT-säkerhet och direktmarknadsföring. Däremot är det är även möjligt för den personuppgiftsansvarige själv att motivera ett annat berättigat intresse. Det berättigade intresset kan omfatta en tredje parts intressen eller den personuppgiftsansvariges intressen. Exempelvis kommersiella intressen.

Intresseavvägning är ofta en olämplig rättslig grund att använda, när behandlingen medför en hög risk för de registrerades intressen, fri- och rättigheter. Vid sådana fall är det bättre att använda en annan rättslig grund eller att inte utföra behandlingen.

För att utföra en bedömning av berättigat intresse och bedöma risker samt risknivå, ska tre tester bli utförda:

1) Syftestest

2) Nödvändighetstest

3) Avvägnningstest

Syftet med riskbedömningen är att analysera fördelarna med det berättigade intresset, mot riskerna för privatlivet och registrerades fri- och rättigheter. All analys och bedömning ska vara skriftligen dokumenterad internt. Därför är det viktigt att företaget även skapar skriftliga interna rutiner och processer, för att säkerställa utförandet av en korrekt bedömning av berättigat intresse.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.