Konsekvensbedömning (GDPR)
Konsekvensbedömning vid personuppgiftsbehandlingar som innebär "hög risk"
Vad är en konsekvensbedömning? Och vad bör du och ditt företag som personuppgiftsansvarig tänka på vid en personuppgiftsbehandling som kan innebära en hög risk?
En konsekvensbedömning är en GDPR-metod framtagen för att analysera och identifiera din verksamhets risker vid behandling av känsliga uppgifter. Metoden används även för att vidta lämpliga åtgärder och upprätthålla säker hantering av känsliga personuppgifter. Syftet med bedömningen är att göra en riskanalys över en viss behandling av personuppgifter för att säkerställa att den är i enlighet med GDPR.
Vi på Enkla Juridik hjälper dig att göra bedömningen och riskanalysen över den avsedda personuppgiftsbehandling som kan medföra hög risk i ditt företag och era personuppgifter. Ta kontakt om ni behöver hjälp eller har frågor.
Clara – jurist inom IT-rätt, dataskydd och GDPR
Vi hjälper dig med:
- Kostnadsfri första kontakt
- Konsekvensbedömning
- Bollplank för samråd med IMY
Ta kontakt
Fri första kontakt med jurist. Fortsatt hjälp alltid till fast pris efter överenskommelse.
Vad är en konsekvensbedömning och när ska den göras?
Syftet med en konsekvensbedömning är att göra en riskanalys av en viss personuppgiftsbehandling som ni har för avsikt att göra. Anledningen till att göra en sådan bedömning är för att säkerställa att behandlingen inte går emot GDPR. Bedömningen resulterar i rutiner och åtgärder för att bemöta eventuella risker så ni kan fullfölja databehandlingen.
Själva omfattningen på hur stor en bedömning kan vara beror helt på omfattningen eller komplexiteten. Kontakta oss för ett prisförslag.
Varför ska du göra en konsekvensbedömning?
Konsekvensbedömningen är ett viktigt verktyg för att påvisa att du och ditt företag uppfyller kraven i GDPR och även tar lämpliga åtgärder för att säkerställa efterlevnaden. Bryter du mot skyldigheten att göra en sådan konsekvensbedömningar när hög risk föreligger, riskerar ditt företag att drabbas av höga sanktionsavgifter. Det är Integritetsskyddsmyndigheten (IMY), tidigare även känd som Datainspektionen, som utför
Vad betyder “hög risk” inom ramen för GDPR?
En hög risk kan innebära att du och ditt företag ska göra en viss typ av personuppgiftsbehandling som innefattar känsliga uppgifter enligt dataskyddsförordningen. Till skillnad från “vanliga” uppgifter så besitter känsliga uppgifter ett starkare skydd.
Vad är känsliga personuppgifter?
I dataskyddsförordningen finns det en skillnad mellan ’’vanliga’’ personuppgifter och “känsliga” personuppgifter. Känsliga uppgifter kan till exempel beröra hälsa:
- sjukfrånvaro
- graviditet
- läkarbesök
Andra exempel på känsliga uppgifter är:
- Etniskt ursprung
- Politisk åskådning
- Sexuell läggning
- Genetisk information
- Biometriska uppgifter
De här uppgifterna är särskilt skyddsvärda och kräver en högre säkerhetsnivå. Uppgifterna har en stor betydelse för riskbedömningen vid en konsekvensbedömning och kan vara en avgörande anledning till att du och ditt företag måste anmäla en personuppgiftsincident.
Vad säger GDPR om hur ni ska hantera personuppgiftsbehandlingar med hög risk?
Artikel 35 i dataskyddsförordningen GDPR fastställer följande:
“Om att en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.”
När föreligger hög risk?
För att ditt företag ska kunna behandla känsliga personuppgifter finns det därmed ytterligare krav. Konsekvensbedömningar kan utkrävas av tillsynsmyndigheter under flera omständigheter. Enligt dataskyddsförordningen finns följande exempel på omständigheter som kan medföra att en behandling av personuppgifter leder till hög risk:
- När automatiskt beslutsfattande används och grundas på ett systematiskt och omfattande bedömande av människors personliga aspekter, exempelvis profilering.
- När behandling av uppgifter om lagöverträdelser eller annan känslig personuppgift sker, exempelvis uppgifter om hälsa, religiös tro, politisk uppfattning eller etniskt ursprung.
- När systematisk övervakning sker på en allmän plats i stor omfattning, exempelvis kameraövervakning.
- Dokument och ärendehanteringssystem
- Rekryteringsverktyg
- Molntjänster
- Marknadsföringsverktyg eller inhämtning av uppgifter som lokaliserar kund
- Inhämtning av uppgifter via sociala medier
- GPS spårning av fordon
- AI-verktyg (artificiell intelligens)
- DLP-verktyg (Data prevention loss)
- IoT-verktyg (Internet of things)
Hur går konsekvensbedömningen till?
Vi gör bedömningen utifrån dataskydd och integritet. I korta drag innehåller konsekvensbedömningen följande:
- en systematisk beskrivning och genomgång av den planerade behandlingen och behandlingens syfte
- en bedömning över om behandlingen är nödvändig och proportionerlig i förhållande till syftet med den
- en bedömning av vilka risker som föreligger för de registrerades rättigheter och friheter
- en presentation av åtgärder som planeras för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs.
Förutom att du och ditt företag som personuppgiftsansvarig ska ha laglig grund som stöd för behandlingen, så är det även ett krav att ni uppfyller ett av undantagen för förbudet mot behandling av känsliga personuppgifter.
Hur kan vi hjälpa er?
En gedigen konsekvensbedömning genomsyras av en helhetssyn och grundar sig på de lösningar som finns i din verksamhet. Vi på Enkla Juridik kommer sammanväga personuppgiftbehandlingen med de processer som finns i din verksamhet för att hitta lösningar som är praktiskt genomförbara. Utifrån dina verksamhetsbehov hjälper vi dig och ditt företag med hela eller delar av konsekvensbedömningen och kan följa upp införda åtgärder. Inom denna tjänst kan vi även granska tidigare genomförda konsekvensbedömningar och vara med stöd i ert samråd med IMY. Du är varmt välkommen att höra av dig till oss på Enkla Juridik för att få en kostnadsfri första kontakt och ett prisförslag på hur vi kan hjälpa er.
