En konsekvensbedömning har till syfte att förebygga risker. Målet med bedömningen är att skydda människors fri- och rättigheter och minimera risker vid sådana behandlingar av personuppgifter som innebär en hög risk. Detta blogginlägg syftar till att utreda när en konsekvensbedömning behöver göras och hur man ska tänka vid en konsekvensbedömning.
Inledning
Konsekvensbedömningar regleras i artikel 35 GDPR. Det engelska namnet för konsekvensbedömning är ”Data Protection Impact Assessment” och vanligtvis används akronymen DPIA. Syftet med att genomföra en konsekvensbedömning är att förebygga risker innan de faktiskt uppkommer.
En konsekvensbedömning kan behövas innan ni påbörjar en ny personuppgiftsbehandling, om risken med en pågående behandling ändras eller för pågående behandlingar om ni inte har gjort detta tidigare. En konsekvensbedömning behöver till exempel göras av en bank som kontrollerar sina kunder mot en kreditupplysningsdatabas eller för ett sjukhus som ska införa ett nytt system för patienters hälsouppgifter. Ett annat exempel på när en konsekvensbedömning kan vara lämplig är om ett bussbolag ska införa kamerabevakning på sina fordon.
Genom konsekvensbedömningen tar ni reda på vilka risker det finns med att behandla vissa personuppgifter, tar fram rutiner och åtgärder för att bemöta dessa risker samt visar på att kraven i GDPR följs. En konsekvensbedömning är alltså en process för att skapa och påvisa efterlevnad. Dock är det viktigt att poängtera att en konsekvensbedömning inte per automatik leder till att en behandling är laglig enligt GDPR, utfallet kan bli att behandlingen inte är möjlig att genomföra alternativt att fler riskminimerande åtgärder krävs eller ett s.k. förhandssamråd.
Varför ska man göra en konsekvensbedömning?
I vissa fall är det krav på att göra en konsekvensbedömning. Så är fallet om en behandling av personuppgifter sannolikt leder till hög risk för de registrerades fri- och rättigheter. Varje nationell tillsynsmyndighet ska även ta fram och publicera en lista över specifika behandlingar som kräver en konsekvensbedömning, se Integritetsskyddsmyndighetens (IMY) lista här. Personuppgiftsansvarig som inte gör en konsekvensbedömning när sådan skyldighet föreligger, riskerar att drabbas av en sanktionsavgift.
Konsekvensbedömningar kan även göras för personuppgiftsbehandlingar som medför en lägre risk. Detta kan ge er organisation förståelse för personuppgiftsbehandlingens konsekvenser och risker samt utgöra underlag i beslut vilka säkerhetsåtgärder som ska vidtas eller vilka tekniska lösningar som är lämpliga.
Att göra en konsekvensbedömning är till hjälp för att visa att ni uppfyller kraven i dataskyddsförordningen. Dessutom är det ett sätt för er att visa IMY att ni uppfyller GDPR:s krav.
Hur ska man tänka vid en konsekvensbedömning?
Börja tidigt med konsekvensbedömningen
Gör konsekvensbedömningen innan personuppgiftsbehandlingen påbörjas. Ibland krävs en konsekvensbedömning för behandlingar som redan finns. Detta kan bero på att riskerna ökat, till exempel om ni samlar in fler uppgifter än tidigare eller för att ni infört nya tekniska lösningar. Konsekvensbedömningar kan också behöva göras i ett senare skede om behandlingen exempelvis påbörjades innan dataskyddsförordningen började gälla, 25 maj 2018.
Se till helheten
- För att kunna bedöma riskerna med en behandling behöver ni titta på många olika faktorer kring personuppgiftsbehandlingen. Grundläggande för en konsekvensbedömning är att den ska innehålla en systematisk beskrivning av den planerade behandlingen och dess syfte. Det ska även finnas en bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till dess syfte och en bedömning av riskerna för de registrerades rättigheter och friheter. Slutligen ska konsekvensbedömningen även innehålla de åtgärder som ni planerar att vidta för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs. I övrigt ska ni redogöra med ert dataskyddsombud (om ni har utsett ett), samt inhämta synpunkter från de registrerade eller deras företrädare när detta är lämpligt.
Avhjälp eventuella risker
För det första ska ni resonera om behandlingen är nödvändig och proportionerlig till dess syfte (artikel 35.7 b). Ni ska här överväga om det går att uppnå syftet med behandlingen på ett annat sätt som innebär lägre risker.
- Det finns ett antal olika åtgärder som kan användas för att hantera riskerna. Dessa är exempelvis:
Införa en automatisk borttagning av personuppgifter som inte längre behandlas - Kryptering
- Minska antalet individer som har tillgång till uppgifterna
- Begränsa sökbegrepp så det inte går att söka på känsliga personuppgifter
- Rutiner och tydlig information om säkerhet
Motivera och dokumentera
Det är grundläggande att motivera och dokumentera de val som görs. Om ni exempelvis gör en bedömning att det inte inhämta eller följa synpunkter från de registrerade är det viktigt att dokumentera varför.
Införliva konsekvensbedömningar i ert arbetssätt
Att införliva konsekvensbedömningar i sitt arbetssätt är bra för då får ni redan från början ta hänsyn till skyddet för personuppgifter i ert sätt att arbeta. Detta kan göras genom att ha med konsekvensbedömningar i er arbetsordning eller i era projektplaner.
Publicera gärna konsekvensbedömningen
Det är inte ett krav att publicera konsekvensbedömningen. Detta kan dock vara bra att göra för att uppfylla GDPRs principer om öppenhet och ansvarsskyldighet. En publicering av konsekvensbedömningen kan vara särskilt bra när behandlingen rör allmänheten, till exempel via övervakning på allmän plats. Publiceringen kan förslagsvis bestå av en sammanfattning av innehållet i konsekvensbedömningen.
Ompröva riskbedömningen kontinuerligt
Bedömningen av riskerna ska omprövas kontinuerligt, särskilt om behandlingen förändras på ett sätt som kan påverka risken. Vid exempelvis införandet av ett nytt system kan bedömningen av riskerna behöva omprövas.
Vilka bör vara med i en konsekvensbedömning?
Det är den/de personuppgiftsansvariga som ska se till att bedömningen genomförs. Det är tillåtet att utse vissa personer eller funktioner som ska arbeta för att ta fram konsekvensbedömningen men den personuppgiftsansvariga bär dock alltid det yttersta ansvaret. Om den planerade personuppgiftsbehandlingen helt eller delvis genomförs av ett personuppgiftsbiträde bör biträdet bistå er genom att lämna nödvändig information. Exempel på nödvändig information kan vara att biträdet behöver informera om vilka tekniska säkerhetsåtgärder som finns inbyggda i deras system. Om ni har ett dataskyddsombud ska ni rådfråga denna när konsekvensbedömningen utförs (artikel 35.2). De synpunkter som dataskyddsombudet lämnar bör dokumenteras. Synpunkter ska även inhämtas från de registrerade när detta är lämpligt (artikel 35.9).
Om konsekvensbedömningen resulterar i kvarstående hög risk
Om ni efter genomförd konsekvensbedömning, bedömer att det finns en kvarstående hög risk för individers fri- och rättigheter, ska ni samråda med IMY innan ni eventuellt får påbörja behandlingen. Ni ska där redogöra för riskerna för enskildas fri- och rättigheter och varför ni inte har kunnat åtgärda dessa. Ett exempel på detta är att riskerna inte kunnat begränsas tillräckligt genom rimliga åtgärder med tanke på kostnader eller tillgänglig teknik. Förhandssamråd regleras i artikel 36 GDPR och innebär att tillsynsmyndigheten ska bedöma den planerade behandlingen och ge skriftliga råd om hur ni ska gå vidare alternativt förbjuda behandlingen. Ni kan begära förhandssamråd med IMY genom att klicka på denna länk (en konsekvensbedömning måste dock ha gjorts innan).
Avslutningsvis
En bra utgångspunkt för allt GDPR-arbete är att ha ett register över behandlingar (då uppfyller ni samtidigt kraven i artikel 30 GDPR). Med hjälp av ett sådant register får ni en överblick över vilka personuppgifter ni behandlar/planerar att behandla samt vilka eventuella risker som finns. En nyhet i vårt verktyg GDPR Hero är att det nu finns en möjlighet att redan på planeringsstadiet dokumentera personuppgiftsbehandlingar, detta gör det även enklare att få överblick av om en konsekvensbedömning behöver göras för den aktuella behandlingen.
I vårt digitala GDPR-verktyg finns också en särskild modul för att dokumentera konsekvensbedömningar. Hör av dig till oss om du vill veta mer!