You are currently viewing Konsekvensbedömning enligt GDPR

Konsekvensbedömning enligt GDPR

När ett företag hanterar personuppgifter måste företaget göra en konsekvensbedömning avseende dataskydd enligt GDPR. Detta ska ske i samband med användning och lagring av personuppgifterna.

Det finns särskilda krav från Integritetsskyddsmyndigheten för företag eller organisationer som hanterar känsliga personuppgifter i stor skala.

Känsliga personuppgifter är exempelvis uppgifter om en persons hälsa, etniska ursprung, religösa övertygelse och politiska åsikter m.m. Behandling av känsliga personuppgifter är som huvudregel förbjuden (Artikel 9 – GDPR), men det finns vissa undantag. Även företag och organisationer som har omfattande övervakning över de registrerade måste uppfylla dessa krav enligt Datainspektionen. 

Viktigt att tänka på

I vissa fall behöver den personuppgiftsansvarige utse ett dataskyddsombud. De som arbetar i organsationen och de registrerade personerna vars personuppgifter företaget behandlar, måste bli informerade om dataskyddsombudet. Informationen de behöver är följande: 

  • Namn 
  • Kontaktuppgifter 
  • Arbetsuppgifter för dataskyddsombudet

Har ditt företag sedan tidigare haft ett personuppgiftsombud i enlighet med PUL, måste du anmäla den nya dataskyddsombudet till Integritetsskyddsmyndigheten, eftersom att det inte blir registrerat automatiskt. För att anmäla ett dataskyddsombud till Integritetsskyddsmyndigheten, behöver ni fylla i blanketter som finns på Integritetsskyddsmyndighetens hemsida. Mer information om detta finns i artiklarna 37, 38, 39 i dataskyddsförordningen (GDPR).

Konsekvensbedömning enligt GDPR

Vid lagring av personuppgifter, som innebär stora integritetsrisker, måste företaget eller organisationen samråda med Datainspektionen först, innan sådan lagring sker. 

Företag måste genomföra en konsekvensbedömning avseende dataskyddet. Med andra ord analysera tänkbara konsekvenser (olycksscenarion), åtgärder för att hantera riskerna, skyddsåtgärder, tillgodose de registrerades rättigheter m.m. 

Det är viktigt att enbart lagra personuppgifter som man har en rättslig grund för (Här kan du läsa mer om de olika rättsliga grunderna). Personuppgifterna bör inte bli lagrade längre än nödvändigt och ska enbart bli behandlade för det syfte de blev insamlade för. 

Företag måste göra den konsekvensbedömning avseende dataskydd som finns beskriven i artikel 35 i GDPR. Detta måste även ske innan företaget börjar med ny behandling av personuppgifter som innebär stora integritetsrisker. 

Mer information

Här kan du läsa mer om:

Sammanfattning av GDPR för företag och företagare.