Enligt GDPR ska en konsekvensbedömning eller DPIA (Data protection impact assesment) genomföras när en organisation behandlar personuppgifter som innebär hög risk för de registrerade. Men vad är egentligen en konsekvensbedömning? Vad innebär en hög risk? Och hur vet ni när ni ska genomföra en konsekvensbedömning?
I det här blogginlägget har vi sammanfattat svaren på de vanligaste frågorna om konsekvensbedömningar.
Vad är en konsekvensbedömning (DPIA)?
En konsekvensbedömning är precis som det låter. En bedömning av konsekvensen av att behandla en personuppgift. En bedömning av de eventuella konsekvenser som behandlingen kan medföra för de människor vars uppgifter behandlas.
Den här typen av bedömning ska göras när en behandling innebär hög risk för de registrerade. Vad denna höga risk innebär återkommer vi till längre ner i texten.
Varför ska vi göra en konsekvensbedömning?
Syftet med att göra en konsekvensbedömning är att skydda den registrerade från risker. Här är det specifikt risker som påverkar den registrerades fri- och rättigheter. Allt detta är (du gissade rätt) beskrivet i Dataskyddsförordningen (GDPR).
Så varför ska ni göra en konsekvensbedömning? Jo, både ur ett etiskt perspektiv för att skydda den registrerade men även för att efterleva lagkrav. Dessutom används konsekvensbedömningar för att kunna visa upp att efterlevnad finns vid en eventuell granskning.
När ska vi göra en konsekvensbedömning?
En konsekvensbedömning ska (för att följa alla regelverk) göras innan själva behandlingen inleds. Syftet är att proaktivt minimera risker för de registrerade. I själva bedömning tar ni nämligen ställning till om risken är proportionerlig i förhållande till ert ändamål med att behandla uppgifterna.
Om det visar sig att risken är för hög för att berättiga ert ändamål så kan bedömningen resultera i att ni inte får genomföra behandlingen. Eller så landar ni i ett antal åtgärder för att sänka risken.
Som sagt så ska konsekvensbedömningar genomföras innan en behandling påbörjas. Om ni inte har gjort det kan ni göra bedömningen på befintliga behandlingar för att säkerställa efterlevnad av GDPR.
En konsekvensbedömning ska även genomföras om risken för en befintlig behandling förändras.
Innebär det att ni behöver göra en konsekvensbedömning för alla era behandlingar? Här är svaret (glädjande nog) nej.
Kräver våra behandlingar en konsekvensbedömning?
Att veta om era behandlingar kräver en konsekvensbedömning är inte alltid helt enkelt. Den generella beskrivningen är att en konsekvensbedömning ska göras om en behandling av personuppgifter sannolikt leder till hög risk för de registrerades fri- och rättigheter.
Tre exempel på detta som Dataskyddsförordningen beskriver är:
När personuppgifter används för automatiskt beslutsfattande
Det kan innefatta:
- Personuppgifter behandlas i syfte att utvärdera eller poängsätta människor (exempelvis profiler för marknadsföring som grundas på navigering på en webbplats)
- Personuppgifter behandlas i syfte att fatta automatiska beslut (exempelvis kreditvärdighet)
När ni behandlar uppgifter om lagöverträdelser eller känsliga personuppgifter
Det kan innefatta:
- Personuppgifter om personer som befinner sig i beroendeställning t.ex. barn, anställda, asylsökande, äldre och patienter
- Behandling av känsliga personuppgifter, exempelvis ett sjukhus som lagrar patientjournaler.
När personer systematiskt övervakas på allmän plats
Det kan innefatta:
- Kameraövervakning
- Insamling av personuppgifter från internetanvändning
Hur vet vi att konsekvensbedömningen uppfyller GDPR?
Nu när ni vet vad en konsekvensbedömning är samt varför och när ni ska göra den är det dags att gå in på hur ni går tillväga. En vanlig fundering många har är hur man vet att konsekvensbedömningen uppfyller Dataskyddsförordningens krav.
Det finns fyra delar som bedömningen ska innehålla för att vara godkänd:
- En beskrivning av behandlingen och dess syfte
- En bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syftet med den
- En bedömning av riskerna för de registrerades rättigheter och friheter
- Era planerade åtgärder för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs
Allt detta beskrivs med fördel på en samlad plats, gärna i anslutning till ert personuppgiftsregister.
Hur kan vi effektivisera vårt genomförande av konsekvensbedömningar?
En konsekvensbedömning innebär ännu mer dokumentation i ett redan dokumentationstungt område. Men det finns faktiskt sätt att effektivisera genomförandet av konsekvensbedömningar.
Dels så behöver ni inte göra en konsekvensbedömning för varje personuppgiftsbehandling. En konsekvensbedömning kan nämligen användas för flera behandlingar som är av samma typ, omfattning, innehåll eller risk. Däremot behöver ni motivera varför bara en konsekvensbedömning krävs.
Dessutom kan en mall för hur ni genomför konsekvensbedömningar hjälpa er att effektivisera genomförandet. Med en tydlig checklista och arbetssätt blir uppstartssträckan kortare för den som gör en konsekvensbedömning för första gången eller för den som inte gjort en bedömning på ett tag.
Kostnadsfri mall för konsekvensbedömning (DPIA)
Med en mall för konsekvensbedömningar blir det tydligt vilka steg ni behöver gå igenom för att genomföra en korrekt bedömning.
Vi har tagit fram en kostnadsfri mall som hjälper er efterleva GDPR och säkerställa en effektiv hantering av era konsekvensbedömningar. Läs mer och ladda ner mallen här!
