GDPR - Bedömningar
Olika typer av bedömningar
Det finns flera olika typer av bedömningar som företag kan behöva göra inför behandling av personuppgifter i enlighet med GDPR. Exempelvis konsekvensbedömningar eller intresseavvägningar.
Konsekvensbedömningar före behandlingen sker
Om en eventuell behandling av personuppgifter kan leda till höga risker för de registrerades fri- och rättigheter, ska företaget göra en konsekvensbedömning innan behandlingen sker.
Detta framgår av artikel 35 i GDPR. Om företaget inte utför en konsekvensbedömning vid behov, kan det leda till konsekvenser, i värsta fall en sanktionsavgift.
Syftet med en konsekvensbedömning
Syftet med att utföra en konsekvensbedömning är att utreda om behandlingen är tillåten enligt GDPR och hur företaget ska förebygga riskerna som behandlingen innebär för de registrerade.
Vad ska en konsekvensbedömning innehålla?
Beskrivning
Det ska innehålla en systematisk beskrivning gällande behandlingen av personuppgifterna. Detsamma gäller syftet med behandlingen.
Proportion
Företaget ska bedöma huruvida behandlingen av personuppgifter står i proportion till syftet med behandlingen.
Risker för de registrerade
Vilka risker som behandlingen kan innebära för de registrerades fri- och rättigheter.
Åtgärder för att minimera riskerna
Vilka åtgärder som företaget har planerat att vidta för att minimera riskerna.
Om företaget har ett dataskyddsombud
Vissa företag behöver utse ett dataskyddsombud. Företag som har ett dataskyddsombud ska alltid rådfråga ombudet vid utförandet av en konsekvensbedömning.
Exempel på olika typer av konsekvensbedömningar som företag kan behöva göra
Riskbedömning innan nya behandlingar
Företag ska göra en riskbedömning innan de påbörjar nya behandlingar. Detsamma gäller när de inför ny teknik eller nya system till befintliga behandlingar. Bedömningen ska avgöra vilka risker och konsekvenser som behandlingen kan innebära för de registrerade. Dessutom ska analysen och bedömningen inkludera vilka skyddsåtgärder företaget ska vidta för att minimera riskerna.
Konsekvensbedömning av dataskydd (DPIA)
Om en behandling av personuppgifter innebär en hög risk för de registrerades fri- och rättigheter, måste företaget genomföra och dokumentera en konsekvensbedömning av dataskydd (DPIA). Då ska företaget utvärdera riskerna och säkerhetsåtgärderna, för att minimera riskerna med behandlingen. Det är särskilt viktigt att göra en konsekvensbedömning av dataskydd när företaget ska använda ny teknik eller behandla känsliga eller andra integritetskänsliga personuppgifter i stor omfattning.
Konsekvensbedömning av dataöverföringar (DTIA)
När ett företag inom EU överför personuppgifter till ett land utanför EU/EES-området, alltså ett tredjeland enligt GDPR, gäller striktare regler. Om tredjelandet ifråga har en adekvat skyddsnivå enligt EU-kommissionens beslut, behöver företaget inte vidta några extra skyddsåtgärder för dataöverföringen. Däremot måste företaget vidta extra skyddsåtgärder, om det tredjelandet inte har en adekvat skyddsnivå enligt EU-kommissionen. Bland annat måste företaget göra en konsekvensbedömning av dataöverföringar om företaget avser att nyttja en molntjänst för datalagring från en molntjänstleverantör i ett tredjeland.
Begära förhandssamråd med den nationella dataskyddsmyndigheten
Om risken för de enskildas fri- och rättigheter fortfarande är hög efter att företaget har gjort en konsekvensbedömning, bör företaget begära ett förhandssamråd med den nationella dataskyddsmyndigheten. Det kan leda till att dataskyddsmyndigheten beslutar att det är en tillåten behandling, vilka delar av behandlingen som ska ändras för att den ska bli tillåten eller förbjuda behandlingen. Observera att företag måste genomföra och dokumentera en komplett konsekvensbedömning innan företaget begär ett förhandssamråd enligt artikel 36 i GDPR.
Intresseavvägning för att bedöma berättigat intresse
Berättigat intresse är en av de sex (6) rättsliga grunderna som företag kan stödja en behandling på, enligt artikel 6(1)(f) GDPR. För att komma fram till huruvida företaget har ett berättigat intresse eller inte, måste företaget genomföra och dokumentera en intresseavvägning. Det innebär att företaget ställer sitt intresse gentemot registrerades intressen eller grundläggande rättigheter och friheter. Myndigheter kan inte använda berättigat intresse som rättslig grund.
När kan företag ha ett berättigat intresse för behandling av personuppgifter?
Här är några exempel på när ett företag kan ha ett berättigat intresse för att behandla personuppgifter:
Direktmarknadsföring
Ett företag kan ha ett berättigat intresse av att skicka ut reklam via e-post till tidigare kunder. Däremot brukar man inte ha ett berättigat intresse av att skicka ut reklam via e-post till ”kalla kunder”. Vid sådana fall är samtycke mer lämpligt att använda. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse enligt skäl 47 i GDPR.
Koncernintern datadelning
Bolag som ingår i samma koncern kan ha ett berättigat intresse att dela personuppgifter inom koncernen för interna administrativa ändamål. Exempelvis för behandling av anställdas eller kunders personuppgifter. Detta framgår av säl 48 i GDPR.
Förhindra brott
Ett företag kan ha ett berättigat intresse av att behandla personuppgifter för att förhindra brott såsom bedrägeri. Observera att behandlingen ifråga måste vara absolut nödvändig för detta ändamål.
Säkerhet för anställda
Det kan finnas ett berättigat intresse av att behöva garantera säkerheten för de anställda på företaget.
Mer info om åtgärder enligt GDPR
Informationssäkerhet
Företag ska skydda de personuppgifter som behandlas genom att vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder. Till exempel ha backup-filer på en molntjänst, installerade antivirusprogram, erbjuda GDPR-utbildning till personalen, upprätta nödvändiga GDPR-relaterade avtal och dokument m.m. Utgångspunkten är att ju viktigare personuppgifterna är, desto striktare är kraven.