Choose language

Innehåll

 

Vad är en konsekvensbedömning (DPIA)?

DPIA eller konsekvensbedömning är en process som går ut på att beskriva en personuppgiftsbehandling, bedöma om behandlingen är nödvändig och proportionellt synliggöra och hantera dataskyddsrisker.

 

Varför ska ni göra en konsekvens­bedömning?

När ni behandlar personuppgifter ansvarar ni för att det görs på ett korrekt sätt. Om ni exempelvis behandlar känsliga uppgifter, har ett register med många registrerade eller har köpt in ett nytt system, behöver ni troligtvis genomföra en konsekvensbedömning avseende dataskydd - en så kallad DPIA. Konsekvensbedömningen görs för att identifiera och hantera de risker som eventuellt kan förekomma i samband med att ni behandlar personuppgifter i ett visst sammanhang.

För att veta vilka behandlingar som ni eventuellt kan behöva göra en konsekvensbedömning på, är det bra om man vet vilka personuppgifter företaget behandlar, det med en så kallad registerförteckning.  Den som behandlar personuppgifter är dessutom skyldig att ha en registerförteckning på plats. Läs mer om registerförteckning och hur ni kan uppdatera den på bästa sätt.

 

Vilka måste göra en konsekvens­bedömning?

Om er behandling av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska ni göra en konsekvensbedömning. Den i sin tur bygger på att ni gjort en riskanalys, där ni beskrivit händelsen och varför den är en potentiell risk, sannolikheten för att den inträffar och dess konsekvenser.

Visste ni att ni även behöver en rättslig grund för att ens kunna få behandla personuppgifterna? Mer om vad rättslig grund innebär kan ni läsa om i vårt blogginlägg.

Lär dig mer om rättslig grund

faktablad-rättslig-grund-668x500

10 frågor och svar om rättslig grund

Det finns sex olika rättsliga grunder och för att du ska få behandla personuppgifter måste du använda en av dessa grunder. Men det är inte alltid helt enkelt att veta vilken du får välja, eller om behandlingen ens är laglig till att börja med.

faktablad-samtycke-668x500

Samtycke som rättslig grund

I detta faktablad slår vi hål på myten att samtycke är ett krav för personuppgiftsbehandling. Faktabladet ger dig mer information om vad som krävs för att samtycke ska vara giltigt, när det är lämpligt att använda samtycke som rättslig grund och hur du dokumenterar att samtycket sker på ett korrekt sätt. 

När behöver ni göra en konsekvensbedömning?

När er verksamhet påbörjar nya personuppgiftsbehandlingar, ska behandla uppgifter för nya ändamål eller använda ny teknik behöver ni göra en analys. Detta för att ta reda på om behandlingen kan leda till en hög risk för fysiska personers rättigheter och friheter. 

Det är särskilt viktigt om:

  • behandlingen innefattar känsliga personuppgifter eller uppgifter om brott i stor omfattning, 
  • behandlingen innebär systematisk och omfattande övervakning av en allmän plats,
  • det förekommer automatiskt beslutsfattande som har betydande konsekvenser för de registrerade.

Om ni kommer fram till att en behandling kan innebära en hög risk måste ni göra en konsekvensbedömning avseende dataskydd, vilket även kallas DPIA. Läs mer om vad som räknas som hög risk i vårt blogginlägg. 

En konsekvensbedömning ska som regel genomföras innan en behandling av personuppgifter påbörjas. Genom att identifiera riskerna med behandlingen i ett tidigt skede går det troligtvis lättare att förebygga dem. Men bestämmelserna i GDPR om konsekvensbedömningar gäller även för redan befintliga behandlingar av personuppgifter som redan utförs, i synnerhet om det sker förändringar längs vägen. 

 

Hur gör ni en konsekvens­bedömning?

Det finns inga specifika lagkrav på hur en DPIA ska utformas och genomföras rent praktiskt. Men enligt artikel 35 i GDPR ska konsekvensbedömningen åtminstone innehålla:

  • En systematisk beskrivning av den planerade behandlingen och dess syfte. 
  • En bedömning av behovet av behandlingen och dess proportionalitet i förhållande till dess syfte. 
  • En utvärdering av vilka risker som kan bli aktuella. 
  • En plan för hur de identifierade riskerna ska hanteras. 

Integritetskyddsmyndigheten (IMY) trycker också på att den personuppgiftsansvariga organisationen ska ha en process för att genomföra strukturerade konsekvensbedömningar löpande. En konsekvensbedömning är ingen punktinsats utan en process, och det är viktigt att den görs till en integrerad del av organisationens arbetssätt.

 

Vem gör konsekvensbedömningen?

Det är den personuppgiftsansvarige, alltså organisationen, som är ansvarig för att konsekvensbedömningar genomförs som de ska. Om det finns ett dataskyddsombud ska hen finnas tillgänglig för att ge rådgivning till den personuppgiftsansvarige. Dataskyddsombudet övervakar även arbetet med DPIA, men är inte personligen ansvarig. Att göra konsekvensbedömningar kan upplevas som omständligt. Bara att avgöra när det behövs kan vara svårt, särskilt när regelverket är relativt nytt.

 

Dpia-bild-pillarpage-715x488

Hur kan konsekvensbedömningar integreras i organisationens utvecklingsarbete?

IMY har i sina vägledningar och uttalanden betonat att alla personuppgiftsansvariga organisationer ska ha en process för att genomföra strukturerade konsekvensbedömningar löpande. Det är viktigt att den görs till en integrerad del av organisationens arbetssätt. En DPIA-process liknande den som illustreras här ger möjlighet till löpande riskbedömning om nya typer av data samlas in eller börjar användas i nya sammanhang, eller om hanteringen förändras över tid.  

Hur kan ni effektivisera genomförandet av konsekvensbedömningar?

En konsekvensbedömning kan kännas jobbig och krävande i ett redan tungt område. Men det finns sätt att effektivisera genomförande av konsekvensbedömningar och uppfylla kraven i artikel 35. För att effektivisera detta arbetet kan man använda en plattform som underlättar processen genom att erbjuda detaljerad dokumentation, riskidentifiering och åtgärdsplaner som uppfyller alla juridiska krav. Med hjälp av ett föranalysverktyg kan ni dessutom snabbt fastställa när en DPIA är nödvändig, vilket säkerställer att bästa praxis följs genom hela processen. 

Är ni redo att ta er riskhantering till nästa nivå?

Med vår enkla lösning för konsekvensbedömningar (DPIA), säkerställer ni efterlevnad av GDPR:s artikel 35, tryggt och säkert.

Läs mer om vår lösning