Hoppa till innehåll på sidan

Hur ska en kons­ekvens­bedömning genomföras?

En konsekvensbedömning ska genomföras som en pågående och dokumenterad process. Det är inte en engångsaktivitet med ett tydligt avslut. Konsekvensbedömningen ska följas upp kontinuerligt, och vid behov omprövas och uppdateras. Att konsekvensbedömningen dokumenteras är viktigt för att ni ska kunna visa att ni följer dataskyddsförordningen (GDPR).

Vägledning och mallar

IMY har tagit fram vägledning vid konsekvensbedömning.

En praktisk guide (pdf, 2 MB) beskriver IMY:s förslag på hur en konsekvensbedömning kan genomföras i tio steg.

IMY:s mall för konsekvensbedömning enligt dataskyddsförordningen (pdf, 411 kB) – motsvarar steg 3–10 i guiden.

Rättsligt tolkningsstöd (pdf, 464 kB) innehåller fördjupad information om bland annat dataskyddsombudets roll i konsekvensbedömningen.

Excelblad Riskhantering vid konsekvensbedömning (XLSX, 125 kB) – används vid utförandet av riskhanteringen för att dokumentera identifierade risker, riskanalys och identifierade riskreducerande åtgärder.

Det finns ingen bestämd metod för hur en konsekvensbedömning ska genomföras, utan det är upp till den personuppgiftsansvariga att välja en metod som uppfyller kraven enligt GDPR. Vilken metod som är lämplig att använda är ofta beroende av bland annat den typ av personuppgiftsbehandling som ska bedömas, den aktuella organisationens storlek och resurser, och redan befintliga processer.

En dokumenterad process i tio steg

För att underlätta arbetet med att genomföra en konsekvensbedömning har IMY tagit fram ett förslag på tillvägagångssätt i tio steg som uppfyller minimikraven i GDPR.

De tio stegen är:

  1. Bedöm behovet av att genomföra en konsekvensbedömning
  2. Sätt ihop en arbetsgrupp och planera arbetet
  3. Gör en systematisk beskrivning av personuppgiftsbehandlingen
  4. Genomför en rättslig analys
  5. Hantera risker: identifiera, analysera och åtgärda riskerna
  6. Begär förhandssamråd med IMY om risken förblir hög
  7. Hämta in synpunkter från berörda
  8. Gör en sammantagen bedömning
  9. Förankra bedömningen i organisationen
  10. Följ upp konsekvensbedömningen kontinuerligt

Vilka ska delta i en konsekvensbedömning?

  • Den personuppgiftsansvariga har det yttersta ansvaret för att kraven i GDPR och annan dataskyddslagstiftning uppfylls. Det följer av principen om ansvarsskyldighet. Den personuppgiftsansvariga ska säkerställa att en konsekvensbedömning genomförs när det är obligatoriskt, och att den genomförs och följs upp på ett godtagbart sätt. Den eller de personer som i praktiken utför själva konsekvensbedömningen, eller eventuella åtgärder med anledning av den, kan vara personer inom eller utom organisationen.
    • Personer med olika yrkesroller med expertis inom exempelvis juridik, IT och informationssäkerhet behöver i regel engageras i genomförandeprocessen. Vilka kompetenser som involveras beror på organisationen och den interna arbetsfördelningen.
    • Eventuella personuppgiftsbiträden ska bistå den personuppgiftsansvariga med att se till att skyldigheten fullgörs. Personuppgiftsbiträdets ansvar ska vara reglerat i personuppgiftsbiträdesavtalet.
  • Den personuppgiftsansvariga ansvarar för att dataskyddsombudet, om ett sådant finns, får korrekt och tillräcklig information om behandlingen och processen för att kunna utföra sina uppgifter enligt GDPR.
  • Den personuppgiftsansvariga ska, när det är lämpligt, även inhämta synpunkter från de registrerade eller deras företrädare. Med registrerad menas den person vars personuppgifter behandlas. I vissa fall kan det vara lämpligt att genom enkäter eller andra undersökningar ta reda på hur registrerade generellt uppfattar en viss behandling. I andra fall kan inhämtandet av synpunkter begränsas till en viss kategori av registrerade (exempelvis anställda, fackliga ombud eller framtida kunder).
  • Om förhandssamråd krävs ska IMY involveras.

Begrepp som nämns på sidan

 

Mer information

Relaterade länkar

Rättsinformation

Fördjupa dig
Senast uppdaterad: 17 februari 2025
Sidans etiketter Dataskydd, Konsekvensbedömning