Kan en konsekvensbedömning göras efter att personuppgiftsbehandlingen har påbörjats?
Enligt GDPR ska en konsekvensbedömning utföras före en typ av behandling som sannolikt leder till en hög risk för enskildas rättigheter och friheter inleds. En behandling som kan leda till höga risker för enskildas fri- och rättigheter, och vars risker inte har hanterats i tillräcklig utsträckning, ska inte inledas.
Konsekvensbedömningen ska leda fram till ett beslut om behandlingen är eller inte är genomförbar – i förhållande till gällande lagstiftning – i den form som planeras. Att konsekvensbedömningen ska genomföras före behandlingen inleds är också i linje med principerna om inbyggt dataskydd och dataskydd som standard (artikel 25 och skäl 78 till GDPR).
Personuppgiftsansvariga måste dock kontinuerligt bedöma nya risker som uppkommer vid deras personuppgiftsbehandlingar. Därför kan en konsekvensbedömning behöva utföras även för en påbörjad behandling, exempelvis om förutsättningarna har ändrats eller nya risker har uppstått.