maj 8, 2018

Konsekvensbedömning – mer än ett måste

Trots att konsekvensbedömningar måste genomföras enligt Dataskyddsförordningen ska de ses som mer än ett måste. En väl utformad konsekvensbedömningsrutin skapar många fördelar i arbetet med integritet och dataskyddsfrågor.  

 

Dataskyddsförordningen ställer krav på att en konsekvensbedömning ska genomföras i vissa fall. Syftet med en konsekvensbedömning är att förebygga integritetsrisker, genom att kartlägga och utvärdera potentiella risker och hitta lämpliga säkerhetsåtgärder.

 

Det många däremot inte tänker på är att en väl utformad konsekvensbedömningsrutin har flera fördelar, vilka går att dra nytta av i arbetet med integritet och dataskyddsfrågor. Konsekvensbedömning bör ses som ett praktiskt verktyg som både kan fungera som beslutsunderlag samt påvisa regelefterlevnad.

 

Innan fördelarna beskrivas mer grundligt ska först beskrivas när en konsekvensbedömning måste genomföras enligt dataskyddsförordningen.

När måste en konsekvensbedömning genomföras?

 

 

När en behandling av personuppgifter sannolikt leder till hög risk för enskildas fri- och rättigheter ska en konsekvensbedömning genomföras. Huruvida en personuppgiftsbehandling sannolikt leder till hög risk eller inte måste utvärderas i varje enskilt fall.

 

Hög risk

Dataskyddsförordningen ger dock tre exempel på när en behandling sannolikt leder till hög risk:

 

  • Användning av automatiserat beslutsfattande som grundar sig på en systematisk och omfattande bedömning av enskildas personliga egenskaper.
  • Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser.
  • Systematisk övervakning av allmän plats, genom exempelvis kameraövervakning.

 

Det finns även övriga omständigheter som kan påverka risken med en personuppgiftsbehandling. Som tumregel har artikel 29 gruppen ansett att hög risk föreligger om två av följande situationer är uppfyllda:

 

  • Innovativ användning eller tillämpning av nya tekniska eller organisatoriska lösningar
  • Ny typ av behandling, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts
  • Utvärdering eller poängsättning, inbegripet profilering och förutsägelse, särskilt aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar
  • Automatiskt beslutsfattande med rättsliga eller liknande betydande följder
  • Systematisk övervakning
  • Känsliga uppgifter eller uppgifter av mycket personlig karaktär
  • Uppgifter som behandlas i stor omfattning
  • Matchande eller kombinerande uppgiftsserier, som till exempel kommer från två eller flera behandlingar av uppgifter som utförs i olika syften och/eller av olika personuppgiftsansvariga på ett sätt som överstiger den registrerades rimliga förväntningar
  • Uppgifter som rör sårbara registrerade
  • Om behandlingen i sig ”hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal”

 

Hur bör ni använda konsekvensbedömningar?

 

Den som är personuppgiftsansvarig måste kunna visa för Datainspektionen att en konsekvensbedömning har genomförts. Det är därför viktigt att ha rutiner på plats som på ett tidigt skede fångar upp behandlingar som eventuellt skulle kunna leda till en hög risk.

 

Den som bryter mot skyldigheten att genomföra en konsekvensbedömning riskerar nämligen att drabbas av en sanktionsavgift.

 

En konsekvensbedömning behöver emellertid inte vara en engångsföreteelse, som enbart används för högriskbehandlingar, utan kan med fördel införlivas som en del i det löpande arbetet med dataskydd i en verksamhet.

 

Praktiskt verktyg

Om konsekvensbedömningen används som ett verktyg vid utveckling av nya produkter, tjänster och processer eller vid anlitande av nya leverantörer kommer verksamheten att på ett naturligt sätt behöva utvärdera och fundera kring integritetsfrågor redan från början.

 

Frågor som besvaras kan t.ex. vara:

  • Hur många personuppgifter samlas in?
  • Vem berör uppgifterna?
  • Vad har vi för rättslig grund?
  • För vilka ändamål behandlar vi personuppgifterna?
  • Hur säkerställer vi de registrerades rättigheter?

 

Det kan vara lämpligt att implementera en process som är indelad i olika nivåer beroende på om behandlingen sannolikt kommer leda till hög risk eller inte. Ett avgörande steg i arbetet blir då att bedöma den sannolika risken med behandlingen.

 

Beslutsunderlag

Ytterligare en viktig fördel med att implementera en väl fungerande process för konsekvensbedömningar är att arbetet kan användas för att ge beslutsfattare en större förståelse för vilka konsekvenser och risker en personuppgiftsbehandling leder till.

 

Det gör att de har möjlighet att fatta välgrundade beslut och kan på så vis säkerställa att personuppgifter behandlas i enlighet med dataskyddsförordningen och att den personliga integriteten skyddas.

 

Visa regelefterlevnad

En konsekvensbedömning ska vara dokumenterad och den personuppgiftsansvarige ska kunna visa att en konsekvensbedömning genomförts för Datainspektionen. Det kan också vara bra att dokumentera varför en konsekvensbedömning inte gjorts i tillämpliga fall.

 

Genom att göra en konsekvensbedömning och dokumentera denna blir det fortsatta arbetet med uppföljning och kontroll i verksamheten även enklare.

 

Om en uppföljning eller kontroll visar att någon skyddsåtgärd inte varit tillräcklig, trots att en konsekvensbedömning genomförts, kan det till exempel vara en anledning att se över och uppdatera konsekvensbedömningen för att återigen säkerställa att högt skydd för den personliga integriteten.

Skrivet av:

Vill du bli kontaktad av oss?

Tack för att du vill skapa kontakt med oss! Vi hör av oss.