Varför ska man göra en konsekvens­bedömning?

Om en behandling av personuppgifter sannolikt leder till hög risk för de registrerades fri- och rättigheter måste ni alltid göra en konsekvensbedömning. Den som bryter mot skyldigheten att göra en konsekvensbedömning riskerar att drabbas av en sanktionsavgift.

Den personuppgiftsansvariga kan med fördel göra en konsekvensbedömning även för sådana personuppgiftsbehandlingar som medför en lägre risk. En konsekvensbedömning kan ge er organisation förståelse för personuppgiftsbehandlingens konsekvenser och risker och vara till hjälp när ni ska avgöra vilka säkerhetsåtgärder ni ska vidta eller vilka tekniska lösningar som ni ska välja.

Konsekvensbedömningar är inte bara till hjälp för att uppfylla kraven i dataskyddsförordningen. De är också ett sätt för er att visa IMY att ni följer förordningen. Om ni väljer att publicera hela eller delar av konsekvensbedömningen visar ni också allmänheten att ni värnar deras personuppgifter.

Betrakta inte konsekvensbedömningen som en engångsföreteelse, utan som en pågående process som behöver omprövas och uppdateras kontinuerligt. Då blir det enklare att uppmärksamma och införliva integritetsaspekten i personuppgiftsbehandlingens alla delar.

Påbörja arbetet så fort det är praktiskt möjligt och uppdatera i takt med att behandlingens olika delar fastställs. Genom att använda konsekvensbedömningen som ett verktyg i planeringen kan det också bli lättare att fatta rätt beslut i frågor som är viktiga ur ett integritetsperspektiv, till exempel

• hur många uppgifter som ska samlas in
• med vilken rättslig grund
• för vilka ändamål uppgifterna får behandlas.

Att ta ställning till sådana frågor i ett tidigt skede minskar också risken för att ni påbörjar en behandling som senare måste förändras för att ni inte fullt ut tagit hänsyn till dataskyddsförordningens krav.