Konsekvensbedömning är en ny del av den personuppgiftshanteringsmetodik som presenteras i nya dataskyddsförordningen (GDPR). Det är ett bra analysverktyg att arbeta med för att identifiera risker, vidta lämpliga åtgärder samt upprätthålla en säker personuppgiftshantering.
Vägledning
Artikel 29-gruppen1 släppte i början av april 2017 en vägledning kring konceptet konsekvensbedömning. Vägledningen klargör det nya begreppet och bidrar samtidigt till en mer konsekvent tolkning av de omständigheter som kräver en konsekvensbedömning.
Utifrån vägledningen och dataskyddsförordningens artikel 35, kan en konsekvensbedömning beskrivas som en analysmetod för att skildra en personuppgiftsbehandling samt bedöma dess nödvändighet, proportionalitet och konsekvenser för att kunna hantera de risker som kan uppstå för individer och utforma åtgärder utefter de risker som bedömningen påvisar.
Varför konsekvensbedömning
Det huvudsakliga syftet är att minska riskerna för fysiska personer vars personuppgifter ett företag hanterar. En konsekvensbedömning ska genomföras innan den planerade behandlingen påbörjas. Det är den personuppgiftsansvarige som har yttersta ansvaret för att den genomförs på ett korrekt sätt.
Metoden för att utföra en konsekvensbedömning kan vara av mycket skiftande slag, för att personuppgiftsansvariga ska ha flexibilitet att bestämma den exakta strukturen och formen. Kriterierna för utformningen är däremot gemensamma. De allmänna minimikraven för innehållet i en konsekvensbedömning är enligt förordningen:
- En beskrivning av den planerade behandlingen och dess syfte,
- En bedömning av nödvändigheten och proportionaliteten av behandlingen,
- En bedömning av riskerna för de registrerades rättigheter och friheter, samt
- De planerade åtgärderna för att ta itu med risker och visa på efterlevnad av lagen.
När krävs en konsekvensbedömning?
Nyckelordet för när en konsekvensbedömning krävs är när risken med behandlingen för de enskildas integritet är ”hög”. Det är således inte obligatoriskt vid alla personuppgiftsbehandlingar. För att vara på den säkra sidan, när det gäller efterlevnad av förordningen, rekommenderar artikel 29-gruppen att en konsekvensbedömning utförs även i de fall det inte är klart att det krävs.
”Hög risk”?
Det finns några exempel på processer som sannolikt kan leda till ”hög risk” i art. 35.3 i förordningen. Den listan är dock inte uttömmande.
Följande lista har författats av Artikel 29-gruppen och pekar på behandlingsprocesser som särskilt ska beaktas vid bedömningen av om ”hög risk” föreligger;
- Utvärdering eller poängsättning
- Automatiserat beslutsfattande med rättslig eller liknande betydelsefull effekt
- Systematisk övervakning
- Känsliga uppgifter
- Databehandling i stor skala
- Datauppsättningar som blivit matchade eller kombinerade
- Uppgifter kring känsliga registrerade
- Innovativ användning, tillämpning av teknologi eller organisatoriska lösningar
- Dataöverföring över gränser utanför EU
- När behandlingen i sig hindrar den registrerade från att utöva en rättighet, använda en tjänst eller ett kontrakt.
”Tumregeln”
Ju fler av de ovanstående kriterierna som träffas av behandlingen desto mer troligt är det att det finns en hög risk för de registrerade och därmed ett krav på en konsekvensbedömning. En tumregel, presenterad av artikel 29-gruppen, är att om en behandling träffas av färre än två kriterier krävs inte en konsekvensbedömning och tvärtom att en konsekvensbedömning krävs i det fall en behandling träffas av minst två kriterier. Det finns undantag till denna tumregel och det gäller att vara noggrann när frågan avgörs och dokumentera alla beslut, för att senare kunna motivera samtliga ställningstaganden.
Förhandssamråd
Om en konsekvensbedömning visar på en hög risk för enskildas rättigheter och friheter och den risken förblir hög efter planerade åtgärder, ska ett förhandssamråd med Integritetsskyddsmyndigheten genomföras.
Befintlig behandling
Kravet på konsekvensbedömning gäller för de behandlingar som inleds efter den 25:e maj 2018, eller de som väsentligt ändras efter detta datum. En stark rekommendation är dock att genomföra en konsekvensbedömning även för behandlingar som pågår innan ikraftträdandet av förordningen.
Ett användbart verktyg
Konsekvensbedömningar är ett viktigt verktyg för personuppgiftsansvariga att använda för att visa ansvarstagande, identifiera risker, utarbeta åtgärder samt säkerställa lagefterlevnad. Det är ett användbart analysverktyg som är skalbart och som positivt bidrar till ett upprätthållande av dataskydd.
Hela vägledningen finner du om du klickar här.