Fråga:

Vår kund har efterfrågat om vi har gjort en konsekvensbedömning, för vår personuppgiftsbehandling i den tjänst vi tillhandahåller. Vad innebär detta? Är vi skyldiga att genomföra en konsekvensanalys och hur ska vi i sådana fall gå till väga?

Besvarad av: Joel Wickman

En konsekvensbedömning, som också brukar kallas DPIA (Data Protection Impact Assessment), är en process där man tittar på riskerna med en eller flera personuppgiftsbehandlingar ur ett integritetsperspektiv. Under processen tittar man på vilka risker som behandlingen innebär och tar fram planer, rutiner och åtgärder för att hantera de identifierade riskerna.

I vissa fall är genomförandet av en konsekvensbedömning ett krav enligt dataskyddsförordningen (GDPR), t.ex. om behandlingen sannolikt leder till hög risk för enskilda personers fri- och rättigheter.

För att avgöra om behandlingen innebär sådan risk måste ni först analysera vilka risker den aktuella personuppgiftsbehandlingen innebär och vilka säkerhetsåtgärder ni anser lämpliga för att bemöta de identifierade riskerna. Om ni därefter anser att behandlingen fortsatt innebär hög risk, så är ni skyldiga att genomföra en konsekvensbedömning. Det finns också reglerat i Artikel 35 i dataskyddsförordningen att en konsekvensbedömning särskilt krävs i följande fall:

a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.

b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10.

c) Systematisk övervakning av en allmän plats i stor omfattning.

Varmt välkommen att höra av er till oss om ni behöver hjälp med er konsekvensbedömning, eller om ni har andra frågor kopplat till dataskydd och GDPR.