meny

Dataskyddsförordningen om konsekvensbedömning och förhandssamråd

Artikel 35: Konsekvensbedömning avseende dataskydd

1. Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

Datainspektionens kommentar

En konsekvensbedömning ska alltså göras om en viss personuppgiftsbehandling "sannolikt leder till en hög risk för fysiska personers rättigheter och friheter". Risken ska i första hand bedömas utifrån dataskydd och integritet, men även utifrån andra grundläggande rättigheter som yttrandefrihet, tankefrihet, fri rörlighet, förbud mot diskriminering, rätt till frihet, samvete och religion. Läs mer om hur man bedömer risk under punkt 3.

Den personuppgiftsansvarige ska se till att organisationen

  • har ett systematiskt förfarande för konsekvensbedömning, så att konsekvensbedömningar genomförs när de ska, och att de genomförs på ett kvalitetssäkrat sätt
  • gör konsekvensbedömningen till en integrerad del av organisationens arbetssätt
  • involverar berörda parter och tydligt fastställer deras ansvarsområden i konsekvensbedömningen, till exempel dataskyddsombud, registrerade, organisationens affärsverksamhet och tekniska tjänster.
  • när det krävs, ger Datainspektionen tillgång till konsekvensbedömningen
  • när det krävs, samråder med Datainspektionen i ett förhandssamråd
  • regelbundet ser över konsekvensbedömningar och den behandling som de avser
  • dokumenterar de beslut som fattas.

Om den personuppgiftsansvarige beslutar att inte göra en konsekvensbedömning, bör den motivera och dokumentera anledningarna till beslutet.

En process för att skapa och påvisa efterlevnad

En konsekvensbedömning är en process för att

  • beskriva en personuppgiftsbehandling
  • bedöma behovet av behandlingen och om det intrång den utgör står i proportion till syftet
  • hjälpa till att hantera risker för fysiska personers rättigheter och friheter som uppkommer genom behandlingen av personuppgifter genom att bedöma dem och bestämma vilka åtgärder som ska vidtas.

Konsekvensbedömning är ett viktigt verktyg för en organisation, eftersom det hjälper organisationen att

  • uppfylla kraven i dataskyddsförordningen
  • hantera risker för att man inte uppfyller dataskyddsförordningen
  • visa att organisationen uppfyller dataskyddsförordningen.

Med andra ord är en konsekvensbedömning en process för att skapa och påvisa efterlevnad.

När?

Konsekvensbedömningen är en pågående process, inte en engångsaktivitet som ni genomför vid ett enda tillfälle.

För en ny personuppgiftsbehandling, påbörja konsekvensbedömningen så tidigt som det är praktiskt möjligt. Börja även om vissa delar av behandlingen fortfarande är okända. Uppdatera också konsekvensbedömningen under projektets livscykel. Med ett kontinuerligt arbetssätt uppmuntras också projektet att ta fram lösningar som gör att ni följer dataskyddsförordningens regler och intention.

Sedan bör ni regelbundet och kontinuerligt se över och omvärdera er personuppgiftsbehandling för att bedöma om det behövs en konsekvensbedömning. Förhållanden kan ändras så att även personuppgiftsbehandlingar där ni tidigare valt att inte göra en konsekvensbedömning senare behöver en. Till exempel kan riskerna ha ändrats så att behandlingen nu sannolikt leder till en hög risk fast den inte gjorde det tidigare.

Bedöm även personuppgiftsbehandlingar som ni har påbörjat innan dataskyddsförordningen börjar gälla. Även de omfattas av kravet att i vissa fall utföra en konsekvensbedömning.

En konsekvensbedömning för flera behandlingar

En enda konsekvensbedömning kan användas för att bedöma flera behandlingar som liknar varandra vad gäller art, omfattning, innehåll, ändamål och risker. Till exempel:

  • Ett antal matvarubutiker ska var och en införa liknande övervakningssystem på likartade platser. De kan göra en enda konsekvensbedömning.
  • En organisation vill införa en personuppgiftsbehandling som liknar en annan personuppgiftsbehandling där det redan finns en konsekvensbedömning. Då kan de använda den första bedömningen som referens i sin nya konsekvensbedömning.

Den som gör en gemensam konsekvensbedömning för flera personuppgiftsbehandlingar ska motivera varför en enda konsekvensbedömning har utförts.

Sanktioner

Datainspektionen kan utkräva sanktionsavgifter om en organisation

  • inte gör konsekvensbedömning när en planerad behandling sannolikt leder till en hög risk
  • gör konsekvensbedömningar på fel sätt, t.ex. utan att rådfråga dataskyddsombudet eller utan att ta med en beskrivning av behandlingen, dess proportionalitet, risker och åtgärder för att hantera riskerna
  • inte samråder med Datainspektionen före behandlingen när konsekvensbedömningen visar att behandlingen skulle leda till en hög risk om inte åtgärder vidtas för att minska risken.

2. Den personuppgiftsansvarige ska rådfråga dataskyddsombudet, om ett sådant utsetts, vid genomförande av en konsekvensbedömning avseende dataskydd.

Datainspektionens kommentar

Om det finns ett dataskyddsombud ska den personuppgiftsansvarige rådfråga hen om konsekvensbedömningen. Dataskyddsombudet bör även övervaka genomförandet av konsekvensbedömningen.

Det är dock alltid den personuppgiftsansvarige som är ansvarig för att konsekvensbedömningen utförs. Konsekvensbedömningen kan utföras av någon annan, inom eller utanför organisationen, men den personuppgiftsansvarige har det yttersta ansvaret.

Dataskyddsombudets råd och de beslut som den personuppgiftsansvarige fattar bör dokumenteras i konsekvensbedömningen.

3. En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:

a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.

b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10.

c) Systematisk övervakning av en allmän plats i stor omfattning.

Datainspektionens kommentar

Om ni är osäkra på om en konsekvensbedömning är nödvändig, rekommenderar vi att ni ändå gör en konsekvensbedömning. Det är ett användbart verktyg för att hjälpa er att följa dataskyddsförordningens intention och regler.

De tre fallen i a–c är ingen fullständig förteckning över situationer där det behövs en konsekvensbedömning. Den som gör en riskanalys för att avgöra om en konsekvensbedömning behövs bör bland annat beakta de nio punkterna nedan. Om ni svarar ja på någon av nedanstående frågor kan det innebära att ni behöver göra en konsekvensbedömning. Om ni svarar ja på två frågor eller mer ska ni i de allra flesta fall göra en konsekvensbedömning. I tveksamma fall bör ni alltid göra en konsekvensbedömning.

1. Kommer personer att utvärderas eller poängsättas? Förekommer profilering och förutsägelser? Har personuppgifterna att göra med personers beteende, arbetsprestation, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, vistelseort eller förflyttningar?

Exempel:

  • Finansinstitut som granskar sina kunder mot en databas för kreditupplysning eller mot en databas för bekämpning av penningtvätt och finansiering av terrorism.
  • Bioteknikföretag som erbjuder genetiska tester direkt till konsumenter för att bedöma och förutse risker för sjukdomar/hälsorisker.
  • Företag som utvecklar profiler för beteende eller marknadsföring som grundas på användning av eller navigering på dess webbplats.

2. Omfattar personuppgiftsbehandlingen automatiskt beslutsfattande med rättsliga eller liknande betydande följder för enskilda? Skulle personuppgiftsbehandlingen till exempel kunna leda till att personer utesluts eller diskrimineras?

3. Handlar det om systematisk övervakning, till exempel av ett nätverk? Kommer de registrerade att observeras, övervakas eller kontrolleras på allmän plats?

Denna typ av övervakning är ett kriterium eftersom personuppgifter kan samlas in i situationer där de registrerade kanske inte är medvetna om vem som samlar in deras uppgifter eller hur de kommer att användas. Dessutom kan det vara omöjligt för enskilda att undvika att bli föremål för sådan behandling på allmän plats.

4. Omfattar personuppgiftsbehandlingen känsliga uppgifter eller uppgifter av mycket personlig karaktär? Ska ni till exempel samla information om enskildas politiska åsikter eller personuppgifter om fällande domar i brottmål.

Exempel: Ett allmänt sjukhus som lagrar patienternas journaler

Vilka personuppgifter som är känsliga framgår i artikel 9. Personuppgifter av mycket personlig karaktär kan vara

  • uppgifter om hushållet och privat verksamhet, till exempel elektronisk kommunikation
  • uppgifter som påverkar utövandet av en grundläggande rättighet, till exempel lokaliseringsuppgifter som kan göra att den fria rörligheten ifrågasätts
  • finansiella uppgifter som skulle kunna användas för betalningsbedrägeri
  • uppgifter såsom personliga dokument, e-postmeddelanden, dagböcker, kommentarer från läsplattor som är utrustade med kommentarfunktioner och mycket personlig information i applikationer som registrerar aktiviteter.

Det kan ha betydelse om uppgifterna redan har offentliggjorts av den registrerade eller av tredje man och om den registrerade kunnat förvänta sig att uppgifterna skulle återanvändas för andra ändamål.

5. Kommer personuppgifter att behandlas i stor omfattning?

Fundera särskilt på

  • hur många som är registrerade, antingen som ett exakt antal eller som en andel av den berörda befolkningsgruppen
  • hur mycket och vilka typer av personuppgifter som behandlas
  • hur länge personuppgifterna behandlas
  • inom hur stort geografiskt område de registrerade finns.

6. Kommer ni att samköra olika register?

Kombinerar ni personuppgifter från två eller flera behandlingar som utförs i olika syften eller av olika personuppgiftsansvariga på ett sätt som den registrerade inte rimligen förväntar sig?

7. Rör personuppgifterna sårbara personer?

Om det är obalans i förhållandet mellan de registrerade och den personuppgiftsansvarige behövs särskilda hänsyn. Det kan till exempel vara svårt för de registrerade att lämna ett frivilligt samtycke, att motsätta sig behandling av sina uppgifter eller att utöva sina rättigheter.

Sårbara personer kan till exempel vara

  • barn
  • anställda
  • psykiskt sjuka personer
  • asylsökande
  • äldre personer
  • patienter

8. Ska personuppgifterna användas i nya tekniska eller organisatoriska lösningar eller på något nytt och innovativt sätt?

Ny teknik kan innebära att personuppgifter samlas in och används på nya sätt som kan innebära hög risk för enskildas rättigheter och friheter. De personliga och sociala konsekvenserna av användningen av ny teknik kan vara okända.

Exempel:

  • En kombination av fingeravtryck och ansiktsigenkänning för förbättrad fysisk åtkomstkontroll.
  • Sakernas internet-applikationer, till exempel smarta mätare, smarta bilar eller anordningar för hemautomatisering. kan få betydande konsekvenser för enskildas dagliga liv och integritet.

9. Är det risk för att personuppgiftsbehandlingen i sig hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal?

Exempel: En bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån.

Hur bedömer man om det krävs en konsekvensbedömning?

Exemplen nedan visar hur kriterierna kan användas för att bedöma om en behandling kräver en konsekvensbedömning. Bedömningen måste alltid göras utifrån det specifika fallet.

I dessa exempel är två eller flera kriterier uppfyllda och det behövs en konsekvensbedömning:

Behandling

Kriterier

Ett sjukhus behandlar patienternas genetiska uppgifter och hälsouppgifter.

4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
5. Uppgifter behandlas i stor omfattning
7. Sårbara registrerade
Ett kamerasystem för att övervaka körbeteendet på motorvägar med hjälp av ett system för intelligent videoanalys som automatiskt känner igen registreringsskyltar. 3. Systematisk övervakning
8. Innovativ användning eller tillämpning av tekniska eller organisatoriska lösningar
Ett företag övervakar systematiskt sina anställdas aktiviteter, deras arbetsstation, internetaktivitet, osv. 3. Systematisk övervakning
7. Sårbara registrerade
Insamling av uppgifter från offentliga sociala medier för generering av profiler. 1. Utvärdering eller poängsättning
4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
5. Uppgifter behandlas i stor omfattning
6. Matchande eller kombinerande uppgiftsserier
Ett institut inrättar en databas för kreditvärdering eller bedrägerier på nationell nivå. 1. Utvärdering eller poängsättning
2. Automatiskt beslutsfattande med rättsliga eller liknande betydande följder
4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
9. Hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal
Lagring i arkiveringssyfte av pseudonymiserade känsliga personuppgifter som rör sårbara registrerade från forskningsprojekt eller kliniska prövningar. 4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
7. Sårbara registrerade
9. Hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal

I nedanstående exempel behövs inte någon konsekvensbedömning. Notera att två kriterier inte alltid innebär att man måste göra en konsekvensbedömning.

Obs! I tveksamma fall bör ni alltid göra en konsekvensbedömning.

Exempel:

Behandling

Kriterier

Behandling av personuppgifter från patienter eller klienter som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. 4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
7. Sårbara registrerade
En nättidskrift använder en sändlista för att dagligen skicka ett allmänt nyhetsbrev till sina prenumeranter. 5. Uppgifter behandlas i stor omfattning
En webbplats för e-handel som visar annonser för begagnade bildelar med begränsad profilering och med utgångspunkt i varor som visats eller köpts på den egna webbplatsen. 1. Utvärdering eller poängsättning

När krävs det INTE en konsekvensbedömning?

Det krävs inte en konsekvensbedömning om personuppgiftsbehandlingen

  • sannolikt inte leder till en hög risk för fysiska personers rättigheter och friheter
  • är mycket lik en annan personuppgiftsbehandling där det redan finns en konsekvensbedömning
  • har sin rättsliga grund i en lag eller förordning, och en konsekvensbedömning redan har genomförts när lagen eller förordningen fastställdes. Datainspektionen känner inte till att det finns några sådana exempel än.

4. Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska översända dessa förteckningar till den styrelse som avses i artikel 68.

Datainspektionens kommentar

Datainspektionen kommer att göra en förteckning över exempel på personuppgiftsbehandlingar som kräver en konsekvensbedömning.

5. Tillsynsmyndigheten får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte kräver någon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översända dessa förteckningar till styrelsen.

Datainspektionens kommentar

Datainspektionen har för närvarande inte planer på att göra en sådan förteckning.

6. Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 63 om en sådan förteckning inbegriper behandling som rör erbjudandet av varor eller tjänster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen.

Datainspektionens kommentar

Innan Datainspektionen kan godkänna förteckningar över exempel på personuppgiftsbehandlingar som kräver en konsekvensbedömning och som rör behandling i flera medlemsstater ska Dataskyddsstyrelsen yttra sig över förteckningen. Syftet med det är att koordinera riktlinjer i alla EU:s medlemsstater.

7. Bedömningen ska innehålla åtminstone

a) en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt, den personuppgiftsansvariges berättigade intresse,

b) en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c) en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d) de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

8. De berörda personuppgiftsansvarigas eller personuppgiftsbiträdenas efterlevnad av godkända uppförandekoder enligt artikel 40 ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av dessa personuppgiftsansvariga eller personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvens¬bedömning avseende dataskydd.

Datainspektionens kommentar

Olika branscher kommer att kunna ta fram särskilda uppförandekoder för personuppgiftsbehandling. Om ni har anslutit er till en sådan uppförandekod bör ni inkludera den i arbetet med konsekvensbedömningen eftersom den kan ha avgörande betydelse – kanske behöver ni inte ens göra konsekvensbedömning, utan uppförandekoden räcker.

Datainspektionen kommer att godkänna uppförandekoder, men det finns inga ännu. Det kommer troligen även att komma uppförandekoder som gäller för hela EU.

9. Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet.

Datainspektionens kommentar

Det kan vara lämpligt att fråga de registrerade, som en del av konsekvensbedömningen, om vilka möjliga risker och konsekvenser de ser med personuppgiftsbehandlingen.

Beroende på hur personuppgiftsbehandlingen är planerad att fungera, så kan man fråga på olika sätt. I vissa fall är det lämpligt med en enkät till allmänheten, ibland kan det vara bra att rådgöra med fackliga företrädare. För en skola kan det vara lämpligt att rådgöra med elevernas vårdnadshavare.

Om den personuppgiftsansvarige och de registrerade inte har samma syn på personuppgiftsbehandlingen, ska det dokumenteras. Det är särskilt viktigt om ni väljer att gå vidare med personuppgiftsbehandlingen.

Om den personuppgiftsansvarige väljer att inte inhämta synpunkter från de registrerade, ska ni dokumentera även det. Kanske är det inte lämpligt för att det skulle äventyra företagets affärsplaner, innebära oproportionerligt mycket arbete vara eller ogenomförbart av andra skäl.

10. Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

Datainspektionens kommentar

En konsekvensbedömning behövs inte om personuppgiftsbehandlingen har sin rättsliga grund i en lag eller förordning där en konsekvensbedömning redan har genomförts när lagen eller förordningen fastställdes.

Datainspektionen känner dock inte till att det finns sådana exempel än.

11. Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.

Datainspektionens kommentar

En konsekvensutredning är inte en engångsaktivitet. Ni kommer att behöva arbeta regelbundet och kontinuerligt med risker i personuppgiftsbehandling, det vill säga att identifiera, analysera, uppskatta, utvärdera och avhjälpa risker.

Artikel 36: Förhandssamråd

1. Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning avseende dataskydd enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken.

Datainspektionens kommentar

I vissa fall ska ni söka förhandssamråd med Datainspektionen. Det gäller om ni bedömer att riskerna fortfarande är höga efter att ni har genomfört en regelrätt konsekvensbedömning där ni har vidtagit alla tekniska och organisatoriska åtgärder som bedömts rimliga med avseende på tillgänglig teknik och kostnader för genomförandet.

Det är inte aktuellt än att begära förhandssamråd. När dataskyddsförordningen börjar tillämpas den 25 maj kommer det att finnas en e-tjänst här på webbplatsen för att begära förhandssamråd. Mer information om detta kommer senare.

2. Om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 skulle strida mot denna förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska tillsynsmyndigheten inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgiftsansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har enligt artikel 58. Denna period får förlängas med sex veckor beroende på hur komplicerad den planerade behandlingen är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att tillsynsmyndigheten erhåller den information som den har begärt med tanke på samrådet.

Datainspektionens kommentar

Datainspektionen lämnar normalt skriftligt besked inom 8 veckor. Om Datainspektionen bedömer att personuppgiftsbehandlingen strider mot förordningen så kommer ni att få råd om hur ni ska gå vidare. Om ni inte får besked inom 8 veckor kan ni inte tolka det som att personuppgiftsbehandlingen är godkänd.

Datainspektionen kan utfärda varningar, reprimander, och förelägganden. Inspektionen kan också förbjuda en behandling tillfälligt eller definitivt. Om en personuppgiftsansvarig exempelvis inte följer en varning från Datainspektionen så har Datainspektionen möjlighet att döma ut en sanktionsavgift.

3. Vid samråd med tillsynsmyndigheten enligt punkt 1 ska den personuppgiftsansvarige till tillsynsmyndigheten lämna

a) i tillämpliga fall de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga och personuppgiftsbiträden som medverkar vid behandlingen, framför allt vid behandling inom en koncern,

b) ändamålen med och medlen för den avsedda behandlingen,

c) de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt denna förordning,

d) i tillämpliga fall kontaktuppgifter till dataskyddsombudet,

e) konsekvensbedömningen avseende dataskydd enligt artikel 35, och

f) all annan information som begärs av tillsynsmyndigheten.

Datainspektionens kommentar

Det kommer att finnas ett formulär för ansökan om förhandssamråd på Datainspektionens webbplats. Formuläret kommer att visa vilken information som Datainspektionen behöver för att kunna hantera din ansökan om förhandssamråd.

4. Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av ett förslag till lagstiftningsåtgärd som ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör behandling.

5. Trots vad som sägs i punkt 1 får det i medlemsstaternas nationella rätt krävas att personuppgiftsansvariga ska samråda med, och erhålla förhandstillstånd av, tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling för utförandet av en uppgift som den personuppgiftsansvarige utför av allmänt intresse, inbegripet behandling avseende social trygghet och folkhälsa.

Datainspektionens kommentar

Det kommer att finnas utrymme för Sverige att införa nationella lagar och förordningar som reglerar att man måste ha förhandstillstånd för vissa typer av personuppgiftsbehandling. Det finns dock ännu inga sådana lagar eller förordningar.