En av nyheterna i GDPR jämfört med personuppgiftslagen (som slutade gälla 25 maj 2018) är konsekvensbedömningar. Det är viktigt att konsekvensbedömningar genomförs när det krävs. Trots detta är det många organisationer som inte vet vad en konsekvensbedömning är, hur en sådan ska genomföras eller när det faktiskt är ett krav. Ett misstag kan bli dyrt. Om en konsekvensbedömning inte gjorts när det är ett krav enligt GDPR eller om en konsekvensbedömning genomförts felaktigt kan Integritetsskyddsmyndigheten utkräva sanktionsavgifter.
Varför ska en konsekvensbedömning göras?
Ibland är det ett krav att göra en konsekvensbedömning. Detta gäller om personuppgiftsbehandlingen sannolikt leder till hög risk för de registrerades fri- och rättigheter. För att avgöra detta är det bra att utgå ifrån en riskanalys, som är ett första steg för att avgöra om ni måste göra en konsekvensbedömning. I en riskanalys ska ni:
- Beskriva händelsen och avgöra om det är en risk.
- Beskriva sannolikheten för att händelsen inträffar.
- Vilka konsekvenser som kan ske om händelsen inträffar och hur allvarliga de är.
Risken ska bedömas mot den enskildes personliga integritet, men även mot andra rättigheter som yttrandefriheten och förbudet mot diskriminering.
Exempel på faktorer som kan innebära ett krav på konsekvensbedömning är:
- Att ni behandlar personuppgifter i stor omfattning.
- Att ni systematiskt övervakar människor.
- Att ni utvärderar eller poängsätter människor.
Om ni gjort en riskanalys med resultatet att det är ett tveksamt fall bör ni göra en konsekvensbedömning för att vara på den säkra sidan. För det fall att organisationen tar beslut att inte genomföra en konsekvensbedömning bör detta beslut med motivering dokumenteras.
Integritetsskyddsmyndigheten kan utkräva sanktioner om ni exempelvis inte genomför en konsekvensbedömning när det rör sig om en behandling med hög risk eller om ni genomför en konsekvensbedömning på fel sätt.
Även om det inte är ett krav för er organisation kan det vara en fördel att göra en konsekvensbedömning i organisationen. Genom att göra en konsekvensbedömning får ni en större förståelse för organisationens personuppgiftsbehandling samt dess konsekvenser och risker. En annan fördel är att en konsekvensbedömning kan tjäna som ett bevis mot Integritetsskyddsmyndigheten att ni följer GDPR. Det blir då som en extra säkerhetslina. Se mer om hur ni kan uppfylla er bevisbörda här.
När i tid ska en konsekvensbedömning genomföras?
En konsekvensbedömning ska som huvudregel genomföras innan personuppgiftsbehandlingen påbörjas och är en pågående process. Alla faktorer kanske inte är kända i ett tidigt skede av en personuppgiftsbehandling, men konsekvensbedömningen kan uppdateras efterhand.
Gällande vissa situationer, till exempel om riskerna med en behandling har ökat, finns det anledning att göra en konsekvensbedömning även efter påbörjad behandling. Riskerna kan ha ökat om ni exempelvis samlar in andra kategorier av personuppgifter än tidigare eller testar nya tekniska lösningar. Det är den personuppgiftsansvarige som bär det yttersta ansvaret för att en konsekvensbedömning görs.
Om en konsekvensbedömning genomförs innan behandlingen inleds blir det även enklare för er att införliva de konsekvensbedömningar ni gjort i ert arbetssätt. Införlivas konsekvensbedömningarna på detta sätt kan ni enklare säkerställa att personuppgiftsskyddet på er organisation är i enlighet med GDPR.
Hur ska en konsekvensbedömning genomföras?
En konsekvensbedömning ska göras med helheten i åtanke. Det finns fyra punkter som alltid ska vara med i en konsekvensbedömning:
- En beskrivning över behandlingen och dess syfte.
- En bedömning av om behandlingen är nödvändig och proportionerlig.
- En bedömning av riskerna för de registrerades fri- och rättigheter.
- En beskrivning av de åtgärder ni planerar för att minska dessa risker samt de åtgärder som planeras för att visa att GDPR efterlevs.
Om ni har ett dataskyddsombud ska ni även rådgöra med detta. En konsekvensbedömning ska innehålla information om vad ni ska göra för att garantera säkerheten för de registrerade. Om ni bedömer att det fortfarande föreligger hög risk ska ni samråda med Integritetsskyddsmyndigheten i ett s.k. förhandssamråd. Integritetsskyddsmyndigheten kan vid ett sådant samråd förbjuda en behandling om den strider mot GDPR. Läs mer om vad GDPR säger här.
Det är viktigt att inte se en konsekvensbedömning som något klart, utan som en pågående process i ert företag. När en konsekvensbedömning genomförts kan vissa delar behöva omprövas och justeras.
Frågor?
Om ni har några frågor eller behöver hjälp med att genomföra konsekvensbedömningar? Ni är välkomna att kontakta oss på info@gdprhero.se.
Vill ni föra ett register över era personuppgifter, som ett steg i att uppfylla dels kraven i GDPR, dels er bevisbörda mot Integritetsskyddsmyndigheten kan ni läsa mer om hur vi kan hjälpa er.