Konsekvensbedömning
Om ni planerar att påbörja en behandling av personuppgifter eller redan genomför en personuppgiftsbehandling som kan leda till hög risk för de registrerade måste en konsekvensbedömning göras avseende dataskydd (i enlighet med artikel 35 GDPR).
Vad som är en hög risk för individer kan skilja sig mycket åt. Det kan exempelvis vara att det finns risk för att obehöriga tar del av personuppgifterna som kan leda till diskriminering, identitetsstöld, bedrägeri, ekonomisk förlust eller skadat anseende.
Här finns en förteckning från Integritetsskyddsmyndigheten om vilka kriterier som utgör faktorer för att en behandling kan leda till hög risk. I vårt GDPR-verktyg finns en särskilt utvecklad modul som hjälper er att ta fram konsekvensbedömningar och hålla dem uppdaterade! Läs mer här.
Syftet med en konsekvensbedömning är att identifiera, minimera och förebygga risker. Målet med konsekvensbedömningen är skydda människors fri- och rättigheter och minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk.
Det är flera delar som ska ingå i en godkänd konsekvensbedömning. Här finns en kort beskrivning med exempelfrågor på vad som ska ingå, från den brittiska dataskyddsmyndigheten ICO. I vårt GDPR-verktyg finns en särskild modul som hjälper er dokumentera konsekvensbedömningar utifrån gällande rekommendationer och riktlinjer. Läs mer här.
Ni måste kontinuerligt bedöma den risk som uppkommer vid era personuppgiftsbehandlingar, eftersom risker kan uppstå vid förändrade processer eller byte av system m.m.

Engelska: Data protection impact assessment
Relaterade ord: Compliance, intresseavvägning, ansvarsskyldighet
Relaterade blogginlägg
När behöver en organisation utse ett dataskyddsombud?
Europeiska dataskyddsstyrelsens (EDPB) vidtog en samordnad insats för att undersöka dataskyddsombudets (förkortat ”DSO”) roll och ställning i olika organisationer under 2023. För att undvika att bryta mot kravet att utse ett dataskyddsombud kommer vi i detta...
Vad ingår i rollen som dataskyddsombud?
Dataskyddsombudets främsta funktion är att kontrollera att GDPR följs inom organisationen. I praktiken innebär det en mångfald av arbetsuppgifter och ansvarsområden. Vissa organisationer utser ett dataskyddsombud på grund av rättslig skyldighet, medan andra...
Hur länge får vi spara personuppgifter?
En återkommande fråga vi får är hur länge en personuppgiftsansvarig får spara personuppgifter. Det korta svaret är "så länge du kan motivera och rättfärdiga ditt behov av personuppgifter". Det går alltså inte att ange en bestämd tidsgräns för all form av...