Vilka måste göra en konsekvensbedömning?
Att bedöma en risk
För att kunna bedöma en risk ska man analysera risken, det vill säga beskriva
- händelsen och varför den är en potentiell risk
- hur sannolikt det är att händelsen inträffar
- hur allvarliga konsekvenserna blir om händelsen inträffar.
Hög risk
ExempelHög risk kan det vara om det saknas tillräckliga säkerhetsåtgärder, så att "fel" personer får tillgång till personlig eller känslig information, till exempel uppgifter som kan leda till risk för diskriminering, identitetsstöld, bedrägeri, ekonomisk förlust eller skadat anseende.
Ni måste kontinuerligt bedöma den risk som uppkommer vid era personuppgiftsbehandlingar. Förutom risken för enskildas personliga integritet måste ni titta på risken när det gäller andra grundläggande rättigheter, till exempel:
- yttrandefrihet
- tankefrihet
- fri rörlighet
- förbud mot diskriminering
- rätt till frihet, samvete och religion.
Behandlingar som sannolikt leder till hög risk
Dataskyddsförordningen ger tre exempel på behandlingar som sannolikt leder till hög risk:
Automatiskt beslutsfattande
ExempelNär ni använder automatiskt beslutsfattande som grundar sig på en systematisk och omfattande bedömning av människors personliga aspekter, till exempel profilering.
Uppgifter om lagöverträdelser eller känsliga personuppgifter
ExempelNär ni behandlar uppgifter om lagöverträdelser eller känsliga personuppgifter, till exempel uppgifter om hälsa, religiös tro, politisk uppfattning eller etniskt ursprung, i stor omfattning.
Systematiskt övervakning av en allmän plats
ExempelNär ni systematiskt övervakar en allmän plats i stor omfattning, genom till exempel kameraövervakning.
Vilka måste göra en konsekvensbedömning?
Om er behandling faller in under någon av nedanstående kategorier kan det innebära att ni behöver göra en konsekvensbedömning. Om två eller flera av punkterna är uppfyllda ska ni i de allra flesta fall göra en konsekvensbedömning. I tveksamma fall bör ni alltid göra en konsekvensbedömning. Ni bör överväga att göra en konsekvensbedömning om ni
- utvärderar eller poängsätter människor, till exempel ett företag som erbjuder genetiska tester till konsumenter för att bedöma risker för sjukdomar, ett kreditupplysningsföretag eller ett företag som profilerar internetanvändare
- behandlar personuppgifter i syfte att fatta automatiska beslut som har rättsliga följder eller liknande betydande följder för den registrerade
- systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer
- behandlar känsliga personuppgifter eller uppgifter som är mycket personliga, till exempel ett sjukhus som lagrar patientjournaler, ett företag som samlar in lokaliseringsuppgifter eller en bank som hanterar finansiella uppgifter
- behandlar personuppgifter i stor omfattning
- kombinerar personuppgifter från två eller flera behandlingar på ett sätt som den registrerade inte förväntar sig, till exempel när man samkör register
- behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, exempelvis barn, anställda, asylsökande, äldre och patienter
- använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (Internet of things, IoT)
- behandlar personuppgifter på ett sätt som hindrar de registrerade från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån.
Informationssystem på sjukhus
ExempelEtt sjukhus behandlar patienternas genetiska uppgifter och hälsouppgifter.
Riskkriterier
- Känsliga uppgifter eller uppgifter av mycket personlig karaktär.
- Uppgifter som rör sårbara registrerade.
- Uppgifter som behandlas i stor omfattning.
Kamerasystem för övervakning av körbeteende
ExempelDen personuppgiftsansvariga planerar att använda ett system för intelligent videoanalys för att skilja ut bilar och automatiskt känna igen registreringsskyltar.
Riskkriterier
- Systematisk övervakning.
- Innovativ användning eller tillämpning av tekniska eller organisatoriska lösningar.
Konsekvensbedömning är inte alltid nödvändig
Om det redan har gjorts en konsekvensbedömning för en behandling som är mycket lik den planerade behandlingen behöver ni inte göra en ny. Då kan resultatet från den tidigare konsekvensbedömningen användas. Ni behöver dock granska den tidigare konsekvensbedömningen för att säkerställa att den verkligen är lämplig att använda även för den nya behandlingen.
En konsekvensbedömning behöver inte heller göras om den planerade personuppgiftsbehandlingen inte sannolikt leder till en hög risk för enskildas fri- och rättigheter. Här följer två exempel på fall där man inte behöver göra en konsekvensbedömning eftersom det troligen inte är hög risk. Men observera att i tveksamma fall bör ni alltid göra en konsekvensbedömning. Tänk på att motivera och dokumentera era överväganden.
Nyhetsbrev
ExempelEn nättidskrift använder en sändlista för att dagligen skicka ett allmänt nyhetsbrev till sina prenumeranter.
Riskkriterier
- Uppgifter som behandlas i stor omfattning.
En webbplats för e-handel
ExempelEn webbplats för e-handel visar annonser för begagnade bildelar med begränsad profilering och med utgångspunkt i varor som visats eller köpts på den egna webbplatsen.
Riskkriterier
- Utvärdering eller poängsättning.
Mer information
Fördjupa dig- Konsekvensbedömningar och förhandssamråd
- Varför konsekvensbedömning?
- Vem måste göra en konsekvensbedömning?
- Förteckning över när en konsekvensbedömning ska göras
- Så här gör man en konsekvensbedömning
- Uppgifter och ansvar under konsekvensbedömningen
- Förhandssamråd
- Dataskyddsförordningen om konsekvensbedömning och förhandssamråd