När en konsekvensbedömning ska göras

Om en organisations behandling av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska en konsekvensbedömning göras. Konsekvensbedömningen bygger i sin tur på att organisationen har gjort en riskanalys. I riskanalysen ska händelsen beskrivas, det ska anges varför behandlingen är en potentiell risk, sannolikheten för att den inträffar och dess konsekvenser.

Behandlingar som sannolikt leder till hög risk

I Dataskyddsförordningen (GDPR) ges tre exempel på behandlingar som sannolikt leder till hög risk. Det första exemplet på en behandling som sannolikt leder till hög risk är situationen då organisationen använder automatiskt beslutsfattande som grundar sig på en systematisk och omfattande bedömning av människors personliga aspekter, till exempel profilering. Ytterligare ett exempel är en organisation som behandlar uppgifter om lagöverträdelser eller känsliga personuppgifter, exempelvis uppgifter om hälsa, religiös tro, politisk uppfattning eller etniskt ursprung, i stor omfattning. Slutligen leder en behandling sannolikt till hög risk om organisationen systematiskt övervakar en allmän plats i stor omfattning, genom till exempel kameraövervakning.

Riktlinjer för när en konsekvensbedömning bör göras

Faller en organisations behandling av personuppgifter in under två eller flera av punkterna nedan ska ni i de allra flesta fall göra en konsekvensbedömning: 

  • Utväderar eller poängsätter ni människor? Exempel: ett företag som erbjuder genetiska tester för att bedöma risker för sjukdomar eller ett kreditupplysningsföretag  
  • Behandlar ni personuppgifter i syfte att fatta automatiska beslut som har rättsliga följder eller liknande betydande följder för den registrerade?
  • Övervakar ni systematiskt människor, t.ex. genom att samla in personuppgifter från internetanvändning i offentliga miljöer?
  • Behandlar ni känsliga personuppgifter eller uppgifter som är mycket personliga? T.ex. patientjournaler eller finansiella uppgifter. 
  • Behandlar ni personuppgifter i stor omfattning? 
  • Kombinerar ni personuppgifter från två eller flera behandlingar på ett sätt som den registrerade inte förväntar sig? Exempelvis att register samkörs. 
  • Behandlar ni personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara? Exempelvis uppgifter om barn, anställda, asylsökande, äldre och patienter. 

Lag24 Trainee
24.08.2021

Få snabbt och enkelt hjälp med din juridiska fråga.

Kontakt