Uppgifter och ansvar under konsekvens­bedömningen

Den personuppgiftsansvariga ser till att konsekvensbedömningen genomförs. Ni kan utse vissa personer eller funktioner, såväl inom organisationen som externt, som ska arbeta med att ta fram konsekvensbedömningen. Den personuppgiftsansvariga bär dock alltid det yttersta ansvaret.

Om ni har utsett ett dataskyddsombud ska ni rådfråga det när konsekvensbedömningen utförs. Ni bör dokumentera de synpunkter som dataskyddsombudet lämnar, och de beslut som ni fattar. Dataskyddsombudet bör också fortlöpande övervaka genomförandet.

Om den planerade personuppgiftsbehandlingen helt eller delvis ska genomföras av ett personuppgiftsbiträde bör biträdet bistå er genom att lämna nödvändig information. Biträdet kan till exempel behöva informera om vilka tekniska säkerhetsåtgärder som finns inbyggda i deras system, och vilka personer som kan eller ska få åtkomst till uppgifterna.

Ni ska inhämta synpunkter från de registrerade eller deras företrädare när det är lämpligt. På vilket sätt synpunkterna ska inhämtas beror på den behandling som planeras.

I vissa situationer kan det vara lämpligt att genom enkäter eller andra undersökningar ta reda på hur de registrerade generellt uppfattar en viss behandling. I andra situationer är det mer lämpligt att begränsa sig till en viss kategori av registrerade, till exempel framtida kunder eller fackliga ombud på en berörd arbetsplats.

IMY har en informerande, rådgivande och kontrollerande roll, allt beroende på vilken del av processen den personuppgiftsvariga eller personuppgiftsbiträdet befinner sig i. Vi kommer vanligen in först vid ett förhandssamråd.