GDPR – Åtgärder
Bedömningar
Här har vi sammanfattat information om olika bedömningar som behöver bli genomförda enligt GDPR. Företag som behandlar personuppgifter behöver enligt GDPR genomföra olika typer av konsekvensbedömningar och riskbedömningar. Dessa kan behöva bli genomförda före en behandling, men också under en pågående behandling.
Bedömningar som behöver bli genomförda enligt GDPR
Syftet med bedömningarna är främst att analysera konsekvenser och risker av behandlingen. Dessutom är det ett sätt för företaget att dokumentera sina motiveringar till behandlingen.
Nedan följer en sammanfattning av följande tre vanliga bedömningar som behöver bli genomförda enligt GDPR:
- Konsekvensbedömning av dataöverföringar. På engelska är detta kallat för Transfer Impact Assessment, förkortat TIA.
- Konsekvensbedömning av dataskydd. På engelska är detta kallat för Data Protection Impact Assessment, förkortat DPIA.
- Bedömning av berättigat intresse. På engelska är detta kallat för Legitimate Interest Assessment, förkortat LIA.
Konsekvensbedömning av dataöverföringar (TIA)
Denna bedömning ska bli utförd av det företag som avser att överföra personuppgifter till ett tredjeland. Ett tredelad är ett land utanför EU/EES-området, där GDPR inte gäller. Enligt GDPR får företag enbart överföra personuppgifter till ett tredjeland, som EU-kommissionen inte har beslutat säkerställer en adekvat skyddsnivå, om företaget har vidtagit lämpliga skydds- och säkerhetsåtgärder. Överföringen av personuppgifterna måste dessutom vara villkorad av att de registrerade kommer att ha effektiva rättsmedel tillgängliga avseende behandlingen av deras personuppgifter, inklusive lagstadgade rättigheter.
Utför bedömningen innan behandlingen
En konsekvensbedömning av dataöverföringar ska bli utförd innan överföringen sker. Denna typ av bedömning handlar främst om att analysera lagar och regler i det tredjelandet. Detsamma gäller mottagaren av personuppgifterna, riskerna med överföringen och om de registrerades rättigheter kan bli tillgodosedda i det tredjelandet.
Kontrollera regelbundet
En genomförd konsekvensbedömning av dataöverföringar ska bli regelbundet kontrollerad. Syftet med detta är för att undersöka om något i det tredjelandet har blivit förändrat. Därför är det viktigt att hålla sig uppdaterad om relevanta lagändringar och nyheter om dataskydd i de länder dit personuppgifter har blivit överförda.
Dokumentera
Varje utförd konsekvensbedömning av dataöverföringar måste bli skriftligen dokumenterad. Dessutom ska företag även upprätta tydliga skriftliga riktlinjer samt interna rutiner, för att säkerställa en korrekt utförd konsekvensbedömning.
Konsekvensbedömning av dataskydd (DPIA)
Om en behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, ska en konsekvensbedömning av dataskydd bli utförd. Denna bedömning ska bli utförd av den personuppgiftsansvarige och eventuellt dataskyddsombud. En konsekvensbedömning av dataskydd ska bli utförd innan den tilltänkta behandlingen äger rum. Syftet är att identifiera och minimera risker som är förknippande med behandlingen ifråga. I vissa fall behöver företaget även ansöka om förhandssamråd med IMY. Bestämmelser om konsekvensbedömning och förhandssamråd framgår i artiklarna 35 och 36 GDPR.
En pågående process
Något som är viktigt att tänka på, är att en konsekvensbedömning av dataskydd även utgör en pågående process. Den ska bli tillämpad regelbundet, även under en pågående behandling. Syftet med detta är att identifiera, minimera och begränsa risker med behandlingen. Resultatet av bedömningen bör bli granskad inför väsentliga procedurförändringar. I en konsekvensbedömning analyserar företaget risker med behandlingen och hur det går att förebygga dem, för att skydda de registrerades fri- och rättigheter. Företag måste till exempel vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder.
Exempel på väsentlig ändring av behandlignsprocedur
En konsekvensbedömning ska bli utförd vid planeringen av en ny behandlingsaktivitet och inför varje väsentlig ändring av behandlingsprocedur. En väsentlig ändring av behandlingsproceduren inträffar om exempelvis en ändring sker avseende:
– kategorierna av behandlade personuppgifter,
– syftet och ändamålet med behandlingen,
– rättsliga grunder för behandlingen,
– befintliga mjuk- eller hårdvarulösningar, tjänsteleverantörer eller andra aktörer och ändringen påverkar databehandlingen eller lagringen av data.
En konsekvensbedömning av dataskydd ska bli utförd i två steg
1) Genomförande av ett nödvändighetstest, för att avgöra om en utförlig konsekvensbedömning behöver bli utförd.
2) Genomförande av en konsekvensbedömning av dataskydd.
En konsekvensbedömning av dataskydd ska innefatta en beskrivning av hur personuppgifter kommer att bli använda samt en analys av den planerade behandlingen. Analysen ska resultera i en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.
Enligt artikel 36 GDPR måste ett förhandssamråd i vissa fall ske före behandling. Det är den personuppgiftsansvarige (eller dataskyddsombudet) som ansvarar för att bedöma behovet av förhandssamråd. Förhandssamråd sker tillsammans med Integritetskyddsmyndigheten eller annan ansvarig tillsynsmyndighet. Det ska ske om en konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR visar att behandlingen skulle leda till en hög risk. Detta gäller under förutsättning att den personuppgiftsansvarige inte vidtar åtgärder för att minska risken.
Bedömning av berättigat intresse (LIA)
När företaget vill behandla personuppgifter med stöd intresseavvägning som rättslig grund, måste företaget utföra en bedömning av berättigat intresse. Företaget ifråga ansvarar för att skydda de registrerades rättigheter och intressen.
Syftet med behandlingen
Syftet med utförandet av en bedömning av berättigat intresse, är att företaget ska:
- Identifiera att det finns ett berättigat intresse,
- Kunna visa att behandlingen är nödvändig för att uppnå det berättigat intresset, och
- Kunna balansera det identifierade intresset gentemot de registrerades intressen, fri- och rättigheter.
Exempel på några identifierade berättigade intressen
Enligt GDPR finns det några identifierade berättigade intressen, bland annat IT-säkerhet och direktmarknadsföring. Däremot är det även möjligt för den personuppgiftsansvarige själv att motivera ett annat berättigat intresse. Det berättigade intresset kan omfatta en tredje parts intressen eller den personuppgiftsansvariges intressen. Exempelvis kommersiella intressen.
Intresseavvägning är inte alltid lämpligt
Intresseavvägning är ofta en olämplig rättslig grund att använda, när behandlingen medför en hög risk för de registrerades intressen, fri- och rättigheter. Vid sådana fall är det bättre att använda en annan rättslig grund eller att inte utföra behandlingen.
Bedöma risker samt risknivå
För att utföra en bedömning av berättigat intresse och bedöma risker samt risknivå, ska tre tester bli utförda:
1) Syftestest
2) Nödvändighetstest
3) Avvägnningstest
Syftet med riskbedömningen är att analysera fördelarna med det berättigade intresset, mot riskerna för privatlivet och registrerades fri- och rättigheter. All analys och bedömning ska vara skriftligen dokumenterad internt. Därför är det viktigt att företaget även skapar skriftliga interna rutiner och processer, för att säkerställa utförandet av en korrekt bedömning av berättigat intresse.
Behöver ni hjälp med att upprätta GDPR-realterade avtal och dokument?
Vi arbetar med att skriva och granska avtal till företag. Allt arbete sker på distans via dator och telefon. Priserna är alltid fasta och inkluderar samtal med jurist samt genomgång av avtalet.
GDPR är en EU-förordning som gäller för alla företag som behandlar personuppgifter. Företag måste kunna visa att de följer förordningen vilket bland annat innebär att ha lämpliga avtal och dokument. Vi har hjälpa er upprätta dessa. Dessutom har vi skapat olika GDPR-paket som innehåller avtal och dokument som företag kan behöva för att följa regelverket.
Mer information
Begära förhandssamråd
I vissa fall behöver företag begära ett förhandssamråd med den nationella dataskyddsmyndigheten (i Sverige är det IMY) innan de påbörjar en behandlingen. Observera att företaget först måste göra en konsekvensbedömning. Om de kommer fram till att risken fortfarande är hög för de registrerade, ska de begära ett förhandssamråd.
Vill du veta mer?
Lär dig mer
Gratis juridikskola
Vi driver juridikskolor som är gratis för företagare på vår LinkedIn och Instagram. På vår hemsida publicerar vi dessutom juridiska quiz där kan du testa dina juridiska kunskaper inom GDPR.