En konsekvensbedömning har till syfte att förebygga risker som en behandling av personuppgifter kan innebära genom att minimera risker vid behandlingar som innebär en hög risk, för att skydda människors fri- och rättigheter. Detta blogginlägg syftar till att konkretisera vad som kan utgöra hög risk och ge exempel på vilka typer av personuppgiftsbehandlingar som kan kräva att en konsekvensbedömning görs.
Inledning
Konsekvensbedömning regleras i artikel 35 GDPR. I ett tidigare blogginlägg (läs här) förklarar vi mer ingående när, hur och varför en konsekvensbedömning ska göras. Syftet med att genomföra en konsekvensbedömning är att förekomma de risker som kan uppstå vid behandling av personuppgifter.
Konsekvensbedömning kallas ibland DPIA, vilket är akronymen för det engelska begreppet Data Processing Impact Assessment.
När krävs en konsekvensbedömning?
Det finns dock vissa behandlingar som alltid kräver att en konsekvensbedömning genomförs. Enligt artikel 35.1 GDPR ska det alltid göras en konsekvensbedömning om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, särskilt om man använder ny teknik. En konsekvensbedömning krävs dessutom särskilt vid ett antal angivna fall i artikel 35.3 GDPR. Detta innebär att personuppgiftsansvariga är skyldiga att kontinuerligt bedöma den risk som uppkommer vid deras behandling av personuppgifter.
Praktiskt tips!
För att bedöma om er behandling kräver en konsekvensbedömning behöver det ofta genomföras en slags ”mini-konsekvensbedömning” som sedan utgör beslutsunderlag för om en konsekvensbedömning krävs. Kommer ni fram till att sådan inte krävs kan det i en del fall ändå vara lämpligt att genomföra sådan frivilligt, då det är ett sätt för er att visa att ni uppfyller GDPR:s krav.
Vilka kriterier ska vara uppfyllda för att en konsekvensbedömning krävs?
Det kan vara svårt att avgöra exakt vilka typer av behandlingar som kräver en konsekvensbedömning bara genom att läsa lagtexten. Med anledning av detta ska varje nationell tillsynsmyndighet upprätta och publicera en lista över vilka typer av behandlingar som kräver en konsekvensbedömning. Svenska tillsynsmyndigheten, Integritetsskyddsmyndigheten, IMY:s lista (läs här) innehåller både kriterier som ska vara uppfyllda för att ett krav på konsekvensbedömning ska föreligga, och exempel på sådana behandlingar som uppfyller kriterierna.
Behandlingen ska alltså sannolikt leda till en hög risk för fysiska personers rättigheter och friheter för att en konsekvensbedömning ska krävas.
Nio kriterier för när en hög risk kan föreligga
Tillsynsmyndighetens lista innehåller följande nio kriterier:
- Utvärdering eller poängsättning
- Automatiskt beslutsfattande med rättsliga följder
- Systematisk övervakning
- Känsliga personuppgifter eller uppgifter av mycket personlig karaktär
- Uppgifter som behandlas i stor omfattning
- Matchande eller kombinerade uppgiftsserier
- Uppgifter som rör sårbara registrerade
- Innovativ användning eller tillämpning av nya tekniker eller organisatoriska lösningar
- Behandlingen hindrar registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal
Ju fler av dessa punkter som föreligger, desto mer sannolikt är det att det föreligger en hög risk.
Den personuppgiftsansvarige ska utföra en konsekvensbedömning för sådan behandling som uppfyller minst två av ovanstående kriterier.
Dock kan en behandling uppfylla två eller flera av ovanstående kriterier men den/de personuppgiftsansvariga kan ändå göra bedömningen att den ”sannolikt inte leder till en hög risk”. I så fall bör den/de personuppgiftsansvariga motivera och dokumentera anledningarna till att en konsekvensbedömning inte utförs och inkludera dataskyddsombudets synpunkter (om sådant utsetts).
Konkreta exempel på behandlingar som kan kräva en konsekvensbedömning
Vidare följer några exempel på typer av verksamheter eller behandlingar som typiskt sett kräver att en konsekvensbedömning genomförs samt vilka kriterier i IMY:s förteckning som respektive behandling uppfyller:
Inom arbetslivet
- Ett företag inför ett visselblåsarsystem på arbetsplatsen. Detta eftersom systemet behandlar känsliga personuppgifter (kriterium 4) och uppgifter som rör sårbara registrerade, dvs anställda (kriterium 7)
- E-rekrytering via internet utan personlig kontakt, eftersom den registrerade utvärderas eller poängsätts (kriterium 1) samt att känsliga eller mycket personliga uppgifter kan förekomma (kriterium 4).
- Arbetsgivare övervakar systematiskt hur de anställda använder internet och e-post. Denna behandling innebär systematisk övervakning (kriterium 3) samt behandlar uppgifter som rör sårbara registrerade, dvs anställda (kriterium 7).
- Arbetsgivare inför ett inpasseringssystem för anställda som innefattar exempelvis fingeravtrycksavläsning eller ansiktsigenkänning. Sådan behandling är en systematisk övervakning (kriterium 3), rör sårbara registrerade (kriterium 7) samt innebär innovativ användning eller tillämpning av nya tekniker (kriterium 8).
- En verksamhet som gör bakgrundskontroller inför rekryteringar eftersom den registrerade utvärderas eller poängsätts (kriterium 1), känsliga eller mycket personliga uppgifter kan förekomma (kriterium 4) samt att flera register samkörs med varandra (kriterium 6).
Teknik
- Kameraövervakning på allmän plats. Det grundar sig i dels den systematiska övervakningen (kriterium 3), dels hantering av känsliga personuppgifter (kriterium 4), dels uppgifter som behandlas i stor omfattning (kriterium 5).
- Installation av smarta elmätare hos elabonnenter för att kunna ta
fram, överföra och analysera uppgifter som rör konsumenter på en
detaljerad nivå. Behandlingen innebär en systematisk övervakning (kriterium 3) samt använder ny teknik (kriterium 8). - Företag som tillhandahåller internetuppkopplade produkter för
konsumenters bostäder (smarta hem-produkter), till exempel för att fjärrstyra uppvärmning, belysning eller ljuduppspelning,
samlar in detaljerade uppgifter om hur kunderna använder
tjänsterna. Sådan behandling utgör systematisk övervakning (kriterium 3), innehåller känsliga personuppgifter (kriterium 4) samt utgör innovativ en användning av nya tekniker (kriterium 8).
Marknadsföring
- Ett företag använder kunders lokaliseringsuppgifter i marknadsföringssyfte när det anses utgöra systematisk övervakning (kriterium 3) och då man behandlar känsliga personuppgifter (kriterium 4).
- Ett företag inhämtar uppgifter från sociala medier för att profilera fysiska personer och sedan rikta sin marknadsföring mot vissa grupper. En sådan behandling innefattar utvärdering eller poängsättning av människor (kriterium 1) och en systematisk övervakning (kriterium 3).
Övrig privat sektor
- En bank eller annat kreditinstitut som fattar automatiserade beslut
som avser om en kredit ska beviljas eller inte. Det beror på att en sådan behandling innebär att man utvärderar eller poängsätter människor (kriterium 1), att automatiserade beslut fattas som har rättsliga eller betydande följder för den registrerade (kriterium 2) och att registrerade genom behandlingen hindras från att sluta ett avtal (kriterium 9). - Kreditupplysningsverksamhet då verksamheten behandlar känsliga personuppgifter (kriterium 4) och behandlingen kan hindra registrerade från att utöva en rättighet eller använda en tjänst eller avtal (kriterium 9).
Offentlig sektor
- Behandling av barns personuppgifter i skolverksamhet, om det är ett större antal registrerade. En sådan behandling utgör behandling av personuppgifter i stor omfattning (kriterium 5) och särskilt av sårbara registrerade, dvs barn (kriterium 7).
Observera att denna lista inte är en uttömmande uppräkning utan endast några exempel på behandlingar som kan kräva en konsekvensbedömning.
Är du intresserad av att läsa mer om konsekvensbedömningar kan du spana in detta blogginlägg.
Avslutningsvis
En bra utgångspunkt för allt GDPR-arbete är att ha ett register över behandlingar (då uppfyller ni samtidigt kraven i artikel 30 GDPR). Med hjälp av ett sådant register får ni en överblick över vilka personuppgifter ni behandlar/planerar att behandla samt vilka eventuella risker som finns.
I vårt digitala GDPR-verktyg finns också en särskild modul för att dokumentera konsekvensbedömningar. Hör av dig till oss om du vill veta mer!