GDPR kräver att en så kallad konsekvensbedömning görs inför behandling av personuppgifter som sannolikt leder till hög risk för de registrerade. I följande artikel har vi sammanfattat det viktigaste man gör känna till om konsekvensbedömningar.
Vad är en konsekvensbedömning?
En konsekvensbedömning är ett verktyg för att analysera organisationen personuppgiftsbehandling. Det används för att identifiera risker, vidta lämpliga åtgärder och upprätthålla samt säkerställa en säker personuppgiftshantering. Något förkortat kan man säga att en konsekvensbedömning består av följande steg: 1) Beskrivning av den behandlingen och dess syfte, 2) Bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syfter, 3) Bedömning av riskerna för de registrerades rättigheter och friheter, 4) Beskrivning av åtgärderna som planeras för att hantera riskerna, 5) Dokumentation och 6) Övervakning och översyn.
Det är viktigt att komma ihåg att konsekvensbedömningen är en pågående process som behöver uppdateras kontinuerligt.
När leder en behandling sannolikt till hög risk för de registrerade?
Integritetsskyddsmyndigheten (IMY) har har publicerat riktlinjer som behandlar en konsekvensbedömning måste göras, se här. Nedan följer typexempel på behandlingar som kräver en konsekvensbedömning: inrättande av kandidatdatabas, användande av kunders lokaliseringsuppgifter i marknadsföringssyfte och inhämtning av uppgifter från sociala medier i profilerings- och marknadsföringssyfte.
Varför ska en konsekvensbedömning göras?
Konsekvensbedömning ska göras för att följa lagen (GPDR). Följs inte lagstiftningen kan organisationen bli föremål för sanktioner och goodwillskada. Vidare finns det externa såväl som interna fördelar med att företa en konsekvensbedömning. Internt kan en bedömning leda till att organisationen får en bättre förståelse för personuppgiftsbehandlingens konsekvenser och risker. Därmed kan organisationen välja lämpliga säkerhetsåtgärder och tekniska lösningar. Resultatet av konsekvensbedömningen kan publiceras, t.ex. på den personuppgiftsansvariges hemsida. Externt visar organisationen genom bedömningen IMY och/eller andra myndigheter att reglerna följs. Vidare skapas förtroende gentemot registrerade och allmänheten.
Lag24 Trainee
24.08.2021
Få snabbt och enkelt hjälp med din juridiska fråga.