Artikel 35(3) i GDPR
Konsekvensbedömning av dataskydd (DPIA)
Företag ska utföra en konsekvensbedömning av dataskydd (DPIA) om det föreligger en hög risk för de registrerades fri- och rättigheter vid behandling av deras personuppgifter.
En konsekvensbedömning av dataskydd är obligatorisk i vissa fall
I vissa fall är det obligatoriskt för företag att upprätta en konsekvensbedömning av dataskydd (DPIA). Dessa fall framgår av artikel 35(3) i GDPR.
Till exempel när ett företag utför en storskalig behandling av känsliga personuppgifter. Detsamma gäller vid automatiserade beslutsprocesser som inkluderar profilering, eller systematisk övervakning av en allmän plats i stor omfattning.
Vilket innehåll bör en konsekvensbedömning av dataskydd innefatta?
Behandlingen
Konsekvensbedömningen ska innehålla en beskrivning av behandlingen av personuppgifterna. Till exempel kategorierna av personuppgifter såsom känsliga eller andra integritetskänsliga personuppgifter, omfattning av behandlingen, livscykeln av personuppgifterna (från insamling till gallring) m.m.
Ändamål och rättslig grund
Företag måste alltid ha ett ändamål med behandlingen som ska vara tydligt och specifikt, samt en tillämplig rättslig grund. Konsekvensbedömningen bör inkludera information om ändamålet och den rättsliga grunden. Dessutom är det bra att analysera huruvida ändamålet är proportionerligt.
Riskanalys
Konsekvensbedömningen ska inkludera en riskanalys utifrån de registrerades perspektiv. Med andra ord, vilka konsekvenser som en eventuell personuppgiftsincident kan innebära för de registrerade. Observera att det både ska inkludera sannolikheten att incidenter inträffar och allvarlighetsgraden av konsekvenserna.
Säkerhetsåtgärder
Företag måste vidta tillräckliga säkerhetsåtgärder, både tekniska och organisatoriska. För att minimera riskerna med behandlingen som konsekvensbedömningen avser, ska företaget därför vidta lämpliga säkerhetsåtgärder och de bör inkluderas i konsekvensbedömningen.
Kvarstående risk
Företaget ska analysera de kvarstående riskerna efter de säkerhetsåtgärder som företaget har vidtagit.
Dokumentation
Tänk på att utföra en skriftlig konsekvensbedömning, istället för mental eller muntlig. GDPR ställer krav på att företag ska kunna visa efterlevnad av GDPR i praktiken, enligt principen ansvarsskyldighet i artikel 5(2) GDPR. Det innebär bland annat att företaget ska föra skriftlig dokumentation av sitt GDPR-arbete.
Uppföljning
I och med att GDPR är en levande process, räcker det inte alltid med att bara upprätta dokument, utan det kan krävas uppdatering och uppföljning. Det är bra att analysera behandlingen som konsekvensbedömningen avser regelbundet, exempelvis en gång per år, för att se om riskerna har förändrats.
Om risken fortfarande är hög, ska företaget begära ett förhandssamråd
Om risken fortfarande är hög för de registrerades fri- och rättigheter, efter att företaget har gjort en konsekvensbedömning, ska företaget begära ett förhandssamråd med den nationella dataskyddsmyndigheten.
Medarbetarnas roll vid utförandet av en konsekvensbedömning av dataskydd
Det är inte bara juristen eller/och dataskyddsombudet som ska genomföra konsekvensbedömningen. Det är bra att även inkludera vissa övriga medarbetare på företaget. Till exempel personal från IT-avdelningen som kan beskriva och förklara systemen, och en chef som beskriver arbetsprocesser och ändamålet. Genom att ha tydlig rollfördelning och välgrundad information från alla lämpliga medarbetare, är sannolikheten högre att åtgärderna baseras på en god grund.
Göra om eller uppdatera en konsekvensbedömning av dataskydd
I vissa fall behöver företaget göra om eller uppdatera konsekvensbedömningen. Företag ska nämligen analysera riskerna vid behandlingar när det sker förändringar. Till exempel när företaget börjar använda nya tekniska lösningar, utvidgar målgruppen, ny praxis eller lagstiftning på området m.m.
Glöm inte rådfråga dataskyddsombudet
Om företaget har ett dataskyddsombud (DPO), som vissa företag måste ha enligt GDPR, ska denne rådfrågas när företaget gör en konsekvensbedömning. Detta krav framgår av artikel 35(2) i GDPR.
Mer info
Konsekvensbedömning av dataöverföringar
Företag ska göra en konsekvensbedömning av dataöverföringar (DTIA) före en överföring av personuppgifter till ett tredjeland som saknar adekvat skyddsnivå. Ett tredjeland är ett land utanför EU/EES-området, och enbart EU-kommissionen kan besluta om att ett tredjeland har adekvat skyddsnivå. Företag måste dessutom göra en konsekvensbedömning av dataöverföringar om det sker en indirekt överföring. Exempelvis om företaget använder en molntjänst för att behandla personuppgifter och som i sin tur har sin drift utanför EU/EES-området.