Hoppa till innehåll på sidan
Vi guidar dig

Steg 5: Skydda personuppgifter och förebygga risker

Vikten av att skydda personuppgifter

Vikten av att skydda personuppgifter hänger ihop med GDPR:s grundsyfte att skydda fysiska personers integritet. Säkerhetsrisker och hot mot den personliga integriteten varierar beroende på bland annat personuppgiftsbehandlingens omfattning och vilka personuppgifter som behandlas. Säkerhetsarbetet handlar till stor del om att minimera dessa risker och att hantera riskerna på bästa sätt. Det är varje organisations ansvar att planera och genomföra säkerhetsarbetet så att det uppfyller kraven i GDPR. Med en klar och tydlig struktur och väl anpassade rutiner i säkerhetsarbetet minskar ni riskerna för att ni missar något viktigt eller gör misstag som kan leda till kostsamma säkerhetsincidenter.

Säkerhet för personuppgifter som en del av informationssäkerhetsarbete

Inbyggt dataskydd och dataskydd som standard

Inbyggt dataskydd och dataskydd som standard är en viktig del av arbetet med att skydda personuppgifter och ett krav för alla personuppgiftsansvariga. Inbyggt dataskydd innebär att den personuppgiftsansvariga tar hänsyn till integritetsskyddsreglerna redan när IT-system och rutiner utformas. Kravet på dataskydd som standard innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala medier är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas. 

Inbyggt dataskydd och dataskydd som standard

Gör en riskbedömning innan ni påbörjar behandlingen

Ni måste alltid göra en riskbedömning innan ni påbörjar en behandling av personuppgifter. Under hela den pågående personuppgiftsbehandlingen är ni också skyldiga att bedöma risker och i övrigt skydda och ta hand om uppgifterna på rätt sätt.

Anledningen till att en riskbedömning ska göras är att den ger svar på vilka åtgärder ni behöver vidta för att skydda personuppgifterna i er specifika verksamhet. Ni måste genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa – och även kunna visa – att behandlingen utförs enligt dataskyddsreglerna. Åtgärderna som vidtas måste regelbundet ses över och uppdateras vid behov.

Checklista

Riskbedömning

  • 1

    Gör en riskbedömning

    Ni måste alltid göra en riskbedömning innan ni påbörjar en behandling av personuppgifter. 

  • 2

    Hög risk? Gör en konsekvensbedömning

    Om riskbedömningen visar att er planerade personuppgiftsbehandling sannolikt leder till en hög risk för enskilda personers fri- och rättigheter kräver GDPR att ni gör en särskild så kallad konsekvensbedömning

  • 3

    Fortsatt hög risk? Begär förhandssamråd

    Om konsekvensbedömningen visar att riskerna inte kan begränsas tillräckligt till exempel genom olika typer av skyddsåtgärder och att det finns en fortsatt hög risk, krävs förhandssamråd med IMY innan behandlingen påbörjas. Sådant samråd kräver att ni dokumenterat er konsekvensbedömning och redogör för vilka risker som kvarstår och varför de inte kunnat åtgärdas. 

     

""

Figuren visar de steg som ni behöver gå igenom när ni vill påbörja en ny behandling av personuppgifter. Om er riskbedömning visar att det är en hög risk med behandlingen måste ni göra en konsekvensbedömning. Om riskerna inte kan begränsas tillräckligt krävs även förhandssamråd med IMY innan behandlingen påbörjas.

Nästa steg

Senast uppdaterad: 21 november 2022