När ska en konsekvens­bedömning genomföras?

I artikel 35.1 nämns vissa faktorer som ni särskilt ska ta hänsyn till när ni bedömer om ni behöver göra en konsekvensbedömning. De är:

• Användning av ny teknik
• Behandlingens art
• Behandlingens omfattning
• Behandlingens sammanhang
• Behandlingens ändamål

Fördjupat stöd i hur ni ska förstå innebörden av faktorerna finns i Rättsligt tolkningsstöd kapitel 4.1.

De exempel som nämns är:

• En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.
• Behandling i stor omfattning av särskilda kategorier av uppgifter (artikel 9.1), eller av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott (artikel 10).
• Systematisk övervakning av en allmän plats i stor omfattning.

Att det är exempel innebär att även andra behandlingar som medför liknande höga risker ska föregås av en konsekvensbedömning. Stöd i hur exemplen ska förstås och hur ni ska tolka artikel 35.3 i GDPR finns i Rättsligt tolkningsstöd kapitel 4.2. 

IMY:s förteckning enligt artikel 35.4 i dataskyddsförordningen (pdf, 400 kB)

Förteckningen beskriver vilka typer av behandlingar som omfattas av kravet på en konsekvensbedömning.

Syftet är att komplettera de exempel som ges i artikel 35.3 och vara ett stöd vid tolkningen av begreppet ”hög risk”.  Det är viktigt att vara medveten om att förteckningen inte är uttömmande. Även andra typer av behandlingar kan innebära att en konsekvensbedömning är obligatorisk.

Som huvudregel ska en konsekvensbedömning genomföras om den planerade personuppgiftsbehandlingen uppfyller minst två av de nio kriterierna i förteckningen. En konsekvensbedömning kan dock behöva genomföras i ett enskilt fall trots att bara ett av kriterierna i förteckningen är uppfyllt.

Förteckningen ger även flera exempel på personuppgiftsbehandlingar på olika områden som kräver att en konsekvensbedömning genomförs. Exemplen finns längre ner på sidan. 

Förteckningen bygger på kriterierna i EDPB:s riktlinjer om konsekvensbedömning. Mer information om förteckningen finns i Rättsligt tolkningsstöd kapitel 4.3.

Kriterierna i förteckningen

Utöver de situationer som anges i artikel 35.3, och med beaktande av
undantaget i artikel 35.10, ska en konsekvensbedömning avseende
dataskydd göras om den planerade behandlingen uppfyller minst två av
följande kriterier:

1. utvärderar eller poängsätter människor, till exempel ett företag som
   erbjuder genetiska tester till konsumenter för att bedöma och förutse
   risker för sjukdomar, ett kreditupplysningsföretag eller ett företag som
   profilerar internetanvändare
2. behandlar personuppgifter i syfte att fatta automatiserade beslut
   som har rättsliga följder eller liknande betydande följder för den
   registrerade
3. systematiskt övervakar människor, till exempel genom
   kameraövervakning av en allmän plats eller genom att samla in
   personuppgifter från internetanvändning i offentliga miljöer
4. behandlar känsliga personuppgifter enligt artikel 92 eller uppgifter som är
   av mycket personlig karaktär, till exempel ett sjukhus som lagrar
   patientjournaler, ett företag som samlar in lokaliseringsuppgifter eller en bank
   som hanterar finansiella uppgifter
5. behandlar personuppgifter i stor omfattning
6. kombinerar personuppgifter från två eller flera behandlingar på ett
   sätt som avviker från vad de registrerade rimligen kunnat förvänta sig,
   till exempel när man samkör register
7. behandlar personuppgifter om personer som av något skäl befinner
   sig i ett underläge eller i beroendeställning och därför är sårbara, till
   exempel barn, anställda, asylsökande, äldre och patienter
8. använder ny teknik eller nya organisatoriska lösningar, till exempel
   en sakernas internet-applikation (Internet of things, IoT)
9. behandlar personuppgifter i syfte att hindra registrerade
   från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en
   bank granskar sina kunder mot en databas för kreditupplysning för
   att besluta om de ska erbjudas lån.

• En arbetsgivare övervakar systematiskt hur de anställda använder internet och e-post (kriterium 3 och 7).
• En arbetsgivare inför ett inpasseringssystem för anställda som innefattar behandling av biometriska uppgifter i syfte att identifiera en viss fysisk person, till exempel fingeravtrycksavläsning (kriterium 3, 7 och 8).
• En organisation inför ett gemensamt system i vilket det är möjligt att anmäla missförhållanden på arbetsplatsen – ett så kallat visselblåsarsystem (kriterium 4 och 7).
• Rekryteringsföretag som inrättar kandidat- eller kompetensdatabaser (kriterium 1 och 4).
• Verksamheter som utför bakgrundskontroller inför rekryteringar (kriterium 1,4 och 6).

• Ett företag använder kunders lokaliseringsuppgifter, som till exempel inhämtas via en mobilapp, i syfte att rikta marknadsföring till kunden eller planera sina marknadsföringsstrategier (kriterium 3 och 4).
• Ett företag inhämtar uppgifter från sociala medier för att profilera fysiska personer och därefter rikta marknadsföring till vissa utvalda grupper (kriterium 1 och 3).
• En sökmotor på internet samlar in uppgifter om enskilda som använder tjänsten för att skapa kundprofiler och rikta marknadsföring (kriterium 1 och 3).

• Verksamheter som erbjuder genetiska tester till människor för att bedöma och förutse risker för sjukdomar eller hälsotillstånd eller ge besked om etniskt ursprung (kriterium 1 och 4).
• Vårdgivares behandling av personuppgifter om patienter i annat än ringa omfattning. Exempel på ringa omfattning är när en läkare är ensam verksamhetsutövare och behandlar uppgifter om sina patienter (kriterium 4, 5 och 7).
• Behandling, innefattande lagring i arkiveringssyfte, av pseudonymiserade känsliga personuppgifter som rör registrerade från forskningsprojekt eller kliniska prövningar (kriterium 4 och 7).
• Verksamheter som samlar in och lagrar känsliga personuppgifter som ska utgöra underlag för urval för framtida forskningsändamål (kriterium 4 och 7).

• En bank eller annat kreditinstitut som fattar automatiserade beslut som avser om en kredit ska beviljas eller inte (kriterium 1, 2 och 9).
• Ett företag behandlar ekonomiska uppgifter om fysiska personer i stor omfattning för att kunna lämna ut dessa till andra aktörer för kreditupplysningsändamål (kreditupplysningsverksamhet) (kriterium 4 och 9).
• Ett företag som tillhandahåller en plattform för kommunikation (sociala medier) – riktad till allmänheten och där användarna själva kan publicera text, bild eller ljud – och samlar in detaljerade uppgifter om användningen av tjänsten (kriterium 3 och 5).
• Ett företag som i stor omfattning behandlar uppgifter om kunders tidigare misskötsamhet (en så kallad svart lista) i syfte att avgöra om personen ska få återkomma som kund eller inte (kriterium 4, 5 och 9).

• En kommun samlar in personuppgifter innefattande bland annat
  lokaliseringsuppgifter i syfte att använda dessa vid exempelvis stads- och trafikplanering (kriterium 3, 4 och 5).
• Behandling av barns personuppgifter i skolverksamhet, om det är ett
  större antal registrerade (kriterium 5 och 7).
• En kommun som behandlar personuppgifter i social omsorg, om det
  är ett större antal registrerade (kriterium 4, 5 och 7).
• En myndighet som, enskilt eller tillsammans med andra
  personuppgiftsansvariga, genom digitala plattformar ger service till
  befolkningen, vilket leder till storskalig personuppgiftsbehandling
  (kriterium 4, 5 och 8).

• Ett företag som tillhandahåller internetuppkopplade produkter för konsumenters bostäder (smarta hem-produkter), till exempel för att kunna fjärrstyra uppvärmning, belysning eller ljuduppspelning, samlar in detaljerade uppgifter om hur kunderna använder tjänsterna (kriterium 3, 4 och 8).
• Verksamheter inom social omsorg som använder välfärdsteknik, till exempel robotar eller kamerabevakning, i människors boenden (kriterium 3, 4 och 8).
• Verksamheter som använder ett system för intelligent videoanalys för att skilja ut bilar och automatiskt känna igen registreringsskyltar i syfte att övervaka körbeteendet på motorvägar (kriterium 3, 4 och 8).
• Ett parkeringsbolag som använder kamerabevakning som kan skilja ut registreringsnummer i syfte att debitera parkeringsavgifter (kriterium 3 och 8).
• Verksamheter som samlar in personuppgifter, innefattande bland annat lokaliseringsuppgifter, som uppkommer genom användning av smarta bilar, till exempel för att utveckla tekniken (kriterium 3, 4 och 8).
• Installation av smarta elmätare hos elabonnenter för att kunna ta fram, överföra och analysera uppgifter som rör konsumenter på en detaljerad nivå (kriterium 3 och 8).
• Verksamheter som gör stora ändringar i sin tekniska infrastruktur och som behandlar personuppgifter inom exempelvis hälso- och sjukvård eller social omsorg (kriterium 4, 7 och 8).

• Personuppgifter
• Känsliga personuppgifter
• Gränsöverskridande personuppgiftsbehandling
• Korrigerande åtgärder (inklusive sanktionsavgift)
• EDPB (Europeiska dataskyddsstyrelsen)

Vill du få grundläggande koll på GDPR? Börja med att läsa vår introduktion.

Introduktion till dataskyddsförordningen (GDPR)