Planerar du att inleda en behandling av personuppgifter som kan leda till en hög risk för de registrerade? Då måste du göra en så kallad konsekvensbedömning avseende dataskydd. Målet med en konsekvensbedömning avseende dataskydd är att minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk.

Vad är en konsekvensbedömning?

En konsekvensbedömning är en process som är avsedd att beskriva behandlingen, bedöma om den är nödvändig och proportionell, och som ska hjälpa till att hantera risker för fysiska personers rättigheter och friheter som uppkommer genom behandlingen av personuppgifter genom att bedöma riskerna och bestämma vilka åtgärder som ska vidtas.

Varför ska jag göra en konsekvensbedömning?

Konsekvensbedömningar är viktiga verktyg för utkrävande av ansvar, eftersom de inte bara hjälper personuppgiftsansvariga att uppfylla kraven i förordningen, utan även visar att lämpliga åtgärder har vidtagits för att säkerställa efterlevnaden av förordningen. Den som bryter mot skyldigheten att göra en konsekvensbedömning riskerar att drabbas av en sanktionsavgift. Med andra ord är en konsekvensbedömning en process för att skapa och påvisa efterlevnad.

Vem måste göra en konsekvensbedömning?

Om behandlingen av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska du alltid göra en konsekvensbedömning. För att veta om ni måste göra en konsekvensbedömning måste du alltså först ta ställning till om din behandling kan innbära en risk för enskilda personers fri- och rättigheter. 

Även om en konsekvensbedömning kan krävas under andra omständigheter ger dataskyddsförordningen några exempel på när en behandling sannolikt leder till en hög risk:

  • När du använder automatiskt beslutsfattande som grundar sig på en systematisk och omfattande bedömning av människors personliga aspekter, till exempel profilering.
  • När du behandlar uppgifter om lagöverträdelser eller känsliga personuppgifter, till exempel uppgifter om hälsa, religiös tro, politisk uppfattning eller etniskt ursprung, i stor omfattning.
  • När du systematiskt övervakar en allmän plats i stor omfattning, genom till exempel kameraövervakning.

Detta är inte avsett att vara en uttömmande förteckning. Det kan föreligga ”hög risk” vid behandlingar som inte omfattas av dessa exempel men som ändå medför liknande höga risker. För sådana behandlingar ska alltså en konsekvensbedömning också göras.

Hur gör man en konsekvensbedömning?

Konsekvensbedömningen bör påbörjas så tidigt som det är praktiskt möjligt vid utformningen av behandlingen, även om vissa delar av behandlingen fortfarande är okända. Det kan även vara nödvändigt att upprepa enskilda steg av bedömningen allt eftersom utvecklingsprocessen framskrider, eftersom valet av vissa tekniska eller organisatoriska åtgärder kan påverka allvaret i eller sannolikheten för de risker som uppkommer genom behandlingen. 

I dataskyddsförordningen finns ett antal minimikriterier för en konsekvensbedömning. De återkommande stegen som ska vidtas är:

  • Beskrivning av den planerade behandlingen och behandlingens syften
  • Bedömning av behovet av och proportionaliteten hos behandlingen
  • Planerade åtgärder för att visa regelefterlevnad
  • Bedömning av riskerna för de registrerades rättigheter och friheter
  • Åtgärder som planeras för att hantera riskerna
  • Dokumentation för att visa att reglerna efterlevs
  • Övervakning och översyn att reglerna efterlevs

Viktigt att komma ihåg är att utförandet av en konsekvensbedömning är en pågående process, inte ett förfarande som sker vid ett enda tillfälle.

Hur kan vi hjälpa dig?  

TechLaw är experter på komplexa dataskyddsfrågor och hjälper både privata och offentliga aktörer att upprätta och granska konsekvensbedömningar avssende dataskydd som lever upp till kraven i dataskyddsförordningen.  

Du är välkommen att höra av dig till oss för råd om vad du behöver göra för att säkerställa efterlevnaden av dataskyddsförordningen. 

 

Vanliga frågor

Kontakta oss

Relaterad expertis

Back to top