Planerar du att inleda en behandling av personuppgifter som kan leda till en hög risk för de registrerade? Då behöver du titta på de risker som är förknippade med behandlingen av personuppgifter innan behandlingen påbörjas. Detta görs genom en riskanalys, eller också kallad konsekvensbedömning avseende dataskydd. Målet med konsekvensbedömningen är att minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk.
Vi hjälper privata och offentliga aktörer att upprätta och granska konsekvensbedömningar avseende dataskydd som lever upp till lagens krav.
Vad är en konsekvensbedömning avseende dataskydd?
En konsekvensbedömning är en process som är avsedd att beskriva behandlingen, bedöma om den är nödvändig och proportionell, och som ska hjälpa till att hantera risker för fysiska personers rättigheter och friheter som uppkommer genom behandlingen av personuppgifter genom att bedöma riskerna och bestämma vilka åtgärder som ska vidtas.
Varför ska jag göra en konsekvensbedömning?
En konsekvensbedömning är viktiga verktyg för utkrävande av ansvar, eftersom de inte bara hjälper personuppgiftsansvariga att uppfylla kraven i förordningen, utan även visar att lämpliga åtgärder har vidtagits för att säkerställa efterlevnaden av förordningen. Den som bryter mot skyldigheten att göra sådana konsekvensbedömningar riskerar att drabbas av sanktionsavgifter. Med andra ord är konsekvensbedömningarna en process för att skapa och påvisa efterlevnad.
Vem måste göra en konsekvensbedömning?
Om behandlingen av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska du alltid göra en konsekvensbedömning. För att veta om ni måste göra en konsekvensbedömning måste du alltså först ta ställning till om din behandling kan innbära en risk för enskilda personers fri- och rättigheter.
Även om en konsekvensbedömning kan krävas under andra omständigheter ger dataskyddsförordningen några exempel på när en behandling sannolikt leder till en hög risk:
- När du använder automatiskt beslutsfattande som grundar sig på en systematisk och omfattande bedömning av människors personliga aspekter, till exempel profilering.
- När du behandlar uppgifter om lagöverträdelser eller känsliga personuppgifter, till exempel uppgifter om hälsa, religiös tro, politisk uppfattning eller etniskt ursprung, i stor omfattning.
- När du systematiskt övervakar en allmän plats i stor omfattning, genom till exempel kameraövervakning.
Detta är inte avsett att vara en uttömmande förteckning. Det kan föreligga ”hög risk” vid behandlingar som inte omfattas av dessa exempel men som ändå medför liknande höga risker. För sådana behandlingar ska alltså en konsekvensbedömning också göras.
Hur gör jag en konsekvensbedömning?
Konsekvensbedömningen bör påbörjas så tidigt som det är praktiskt möjligt vid utformningen av behandlingen, även om vissa delar av behandlingen fortfarande är okända. Det kan även vara nödvändigt att upprepa enskilda steg av bedömningen allt eftersom utvecklingsprocessen framskrider, eftersom valet av vissa tekniska eller organisatoriska åtgärder kan påverka allvaret i eller sannolikheten för de risker som uppkommer genom behandlingen.
I dataskyddsförordningen finns ett antal minimikriterier för en konsekvensbedömning. De återkommande stegen som ska vidtas är:
- Beskrivning av den planerade behandlingen och behandlingens syften
- Bedömning av behovet av och proportionaliteten hos behandlingen
- Planerade åtgärder för att visa regelefterlevnad
- Bedömning av riskerna för de registrerades rättigheter och friheter
- Åtgärder som planeras för att hantera riskerna
- Dokumentation för att visa att reglerna efterlevs
- Övervakning och översyn att reglerna efterlevs
Viktigt att komma ihåg är att utförandet av en konsekvensbedömning är en pågående process, inte ett förfarande som sker vid ett enda tillfälle.
Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.