Utföra en konsekvensbedömning av dataskydd

Enligt GDPR ska den personuppgiftsansvarige och eventuellt dataskyddsombud i vissa fall utföra en konsekvensbedömning av dataskydd. Denna bedömning ska bli utförd före varje aktivitet som innebär en form av behandling av personuppgifter, som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Utföra en konsekvensbedömning av dataskydd

En konsekvensbedömning av dataskydd handlar om att identifiera och minimera risker som är förknippande med behandling av personuppgifter. Detta avser en pågående process som den personuppgiftsansvarige ska tillämpa regelbundet på sin behandling av personuppgifter. Målet är att identifiera och begränsa risker med behandlingen. På engelska är detta kallat för Data Protection Impact Assessment (DPIA).

Syftet med att utföra en konsekvensbedömning av dataskydd är att bedöma risknivån för personuppgifterna som den personuppgiftsansvarige behandlar. Det kan även handla om en typ av behandling av personuppgifter som företaget avser att utföra. Denna typ av bedömning ska identifiera risker med att behandla viss data och minimera riskerna.

En konsekvensbedömning av dataskydd sker i två (2) steg:

Det första steget går ut på att genomföra ett så kallat nödvändighetstest.

Det andra steget går ut på att genomföra en konsekvensbedömning av dataskydd.

När ska en konsekvensbedömning av dataskydd bli utförd?

Enligt artikel 35 i GDPR ska den personuppgiftsansvarige utföra en konsekvensbedömning av dataskydd bland annat när ny teknik blir använd för behandlingen. Det ska även bli utfört vid behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Bedömningen ska bli utförd innan behandlingen blir utförd. Den ska innefatta en analys av den planerade behandlingen och hur personuppgifter kommer att bli använda. Analysen ska resultera i en bedömning av eventuella konsekvenser för skyddet av personuppgifter.

Om företaget har utsett ett dataskyddsombud, ska denne bli rådfrågad vid genomförande av en konsekvensbedömning avseende dataskydd.

Det finns vissa specifika situationer som kräver att en konsekvensbedömning av detta slag ska bli utförd. Enligt artikel 35 i GDPR framgår att en konsekvensbedömning av dataskydd ska bli utförd om:

– Övervakning av en allmän plats sker systematiskt och i stor omfattning.

– Behandlingen i stor omfattning avser personuppgifter som rör fällande domar i brottmål. Detsamma gäller om det avser lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder.

– Behandlingen i stor omfattning avser personuppgifter som avslöjar känsliga personuppgifter. Exempelvis etniskt ursprung, politiska åsikter, religiös övertygelse eller uppgifter om hälsa.

– Automatisk behandling eller profilering blir använt systematiskt och omfattande, där beslut på dessa grunder har rättsliga följder för fysiska personer.

Inför varje ny behandlingsaktivitet eller väsentlig ändring av behandlingsproceduren, måste nödvändigheten av en konsekvensbedömning av dataskydd bli bedömd. Det sker genom att utföra ett nödvändighetstest. Om det av bedömningen framgår att en konsekvensbedömning är nödvändig att utföra, måste det bli utfört detaljerat.

Vad ska en konsekvensbedömning av dataskydd innehålla?

Genom en konsekvensbedömning, ska företaget noggrant beskriva den tilltänkta behandlingen och göra en bedömning av lagligheten. Särskilt avseende rättslig grund, omfattning, ändamål och syfte med behandlingen. En analys av potentiella risker och en åtgärdsplan för att reducera konsekvenser som kan uppstå genom behandlingen, ska också bli utförd.

En konsekvensbedömning av dataskydd ska innehålla bland annat följande:

– Om tillämpligt, en beskrivning av den personuppgiftsansvariges berättigade intresse till behandlingen av personuppgifterna som bedömningen omfattar.

– En systematisk beskrivning av den planerade behandlingen och syftet med behandlingen.

– En bedömning av behovet av behandlingen i förhållande till syftet.

– Bedömning av proportionaliteten hos behandlingen i förhållande till syftet.

– En bedömning av eventuella risker för de registrerades rättigheter och friheter på grund av den planerade behandlingen.

– Planerade åtgärder som företaget ska vidta för att hantera riskerna. Exempelvis skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa att personuppgifterna är skyddade samt att företaget efterlever GDPR.

När det är lämpligt, ska företaget inhämta de registrerades synpunkter om den avsedda behandlingen. Detta får dock inte påverka skyddet av allmänna eller kommersiella intressen eller säkerheten i behandlingen.

Företaget måste även genomföra en översyn vid behov för att avgöra om behandlingen blir genomförd i enlighet med den genomförda konsekvensbedömningen avseende dataskydd. Detta gäller särskilt när den risk som behandlingen leder till blir förändrad.

Steg 1: Nödvändighetstest

Nödvändighetstestet måste bli utförd och dokumenterad inför varje ny behandlingsaktivitet och varje väsentlig ändring av behandlingsprocedur. Testet avser att ta reda på om en konsekvensbedömning av dataskydd är nödvändig eller inte.

Den personuppgiftsansvarige och eventuellt anlitat dataskyddsombud ansvarar för att utföra nödvändighetstestet. De ansvarar även för att utvärdera aktiviteterna som är tilltänkta.

Ett nödvändighetstest ska bli utfört vid planeringen av en ny behandlingsaktivitet och inför varje väsentlig ändring av behandlingsprocedur. Genomförandet och resultatet ska dokumenteras i ett internt register över utförda behandlingsaktiviteter.

En väsentlig ändring av behandlingsproceduren inträffar om exempelvis en ändring sker avseende:

– kategorierna av behandlade personuppgifter,

– syftet och ändamålet med behandlingen,

– rättsliga grunder för behandlingen,

– befintliga mjuk- eller hårdvarulösningar, tjänsteleverantörer eller andra aktörer. Detta gäller om ändringen påverkar databehandlingen eller lagringen av data.

Steg 2: Konsekvensbedömning av dataskydd

Om nödvändighetstestet resulterar i att en konsekvensbedömning av dataskydd måste bli utförd, utgör det en förutsättning för att behandlingen i fråga ska vara tillåten.

Genom att utföra en konsekvensbedömning av dataskydd, resulterar det i en översikt för behandlingen ifråga. Det är också en riskbedömning och analys av lagligheten. Vid identifieringen av riskerna med behandlingen ifråga, ska vissa åtgärder bli beaktade. Särskilt sådana som minskar risker och mildrar potentiella negativa effekter av behandlingen för den registrerade. Exempelvis avseende friheter och rättigheter. Dessutom ska tilltänkta organisatoriska och tekniska åtgärder bli analyserade.

Den personuppgiftsansvarige och eventuellt anlitat dataskyddsombud ansvarar för genomförandet av en konsekvensbedömning.

Ett konsekvensbedömning avseende dataskydd ska bli utförd vid planeringen av en ny behandlingsaktivitet och inför varje väsentlig ändring av behandlingsprocedur.

Det är möjligt att använda exempelvis den franska dataskyddsmyndighetens (CNIL) digitala verktyg för att genomföra en konsekvensbedömning. (eller annat lämpligt offentliggjort ramverk som utvecklats av EU:s dataskyddsmyndigheter och branschspecifika ramverk).

Implementering av förfaranden som framgår i Working Paper 248 av artikel 29-arbetsgruppen för skydd av personuppgifter bör också beaktas vid utförandet av en konsekvensbedömning samt användas för vidare vägledning i processen.

Utförd konsekvensbedömning måste vara utförligt dokumenterad i interna register för respektive process.

samråd med tillsynsmyndigheten

I vissa fall krävs enligt artikel 36 GDPR att förhandssamråd sker före behandling med IMY eller annan ansvarig tillsynsmyndighet. Det utgör ett krav om en konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR visar att behandlingen skulle leda till en hög risk, om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken.

Den personuppgiftsansvarige (eller dataskyddsombudet) ansvarar för att bedöma behovet av förhandssamråd.

Granskning av en utförd konsekvensbedömnning

Den personuppgiftsansvarige (eller dataskyddsombudet) bör regelbundet granska grunderna för utförda konsekvensbedömningar. Detsamma gäller de åtgärder som har blivit definierade för att minimera riskerna med behandlingen.

Resultatet av en utförd konsekvensbedömning bör bli granskad inför väsentliga procedurförändringar.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.