Det kan i vissa fall vara nödvändigt att ha ett förhandssamråd vid behandling av personuppgifter med IMY (Integritetsskyddsmyndigheten). Detta framgår i artikel 36 GDPR.
Innan ett förhandssamråd sker, ska en konsekvensbedömning av dataskydd bli utförd. Detta gäller om en typ av behandling sannolikt leder till en hög risk för den registrerades rättigheter och friheter. Denna typ av konsekvensbedömning ska bli utförd särskilt om behandlingen sker med hjälp av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål. På engelska är konsekvensbedömning av dataskydd kallat för Data Processing Impact Assesment (DPIA). Detta är reglerat i artikel 35 GDPR.
Om företaget genom konsekvensbedömningen av dataskyddet kommit fram till att behandlingen ifråga leder till en hög risk för den registrerades rättigheter och friheter, ska företaget ansöka om förhandssamråd vid behandling av personuppgifter med IMY.
Förhandssamråd vid behandling av personuppgifter
Först ska företaget göra en konsekvensbedömning. I den ska företaget upprätta en översikt för behandlingen ifråga, en riskbedömning och analys av lagligheten. Företaget ska också dokumentera hur företaget ska behandla personuppgifterna med säkerhet, genom olika tekniska och organisatoriska åtgärder. Dessutom ska företaget därefter begränsa riskerna som behandlingen medför genom att vidta lämpliga åtgärder.
Om företaget har gjort en konsekvensbedömning som följer de kriterier som IMY har publicerat, och bedömt att förhandssamråd måste ske enligt reglerna i GDPR, ska företaget kontakta IMY och be om ett förhandssamråd. Dessutom ska företaget vara medvetna om vilka risker behandlingen ifråga medför och kunna redogöra dem. Därefter berätta hur det kommer sig att företaget inte kan åtgärda riskerna.