meny

Uppgifter och ansvar under konsekvensbedömningen

Flera olika kompetenser är involverade i konsekvensbedömningen. Vilka beror på organisationen och den interna arbetsfördelningen. De registrerade ska också få möjlighet att säga sitt. På vilket sätt de kan bidra med information beror på vilken typ av behandling ni planerar.

Vem gör vad?

Kompetenser som ofta är involverade i konsekvensbedömningen:

  • Den personuppgiftsansvarige ser till att jobbet blir gjort.
  • Dataskyddsombudet ger råd och övervakar.
  • Personuppgiftsbiträdet hjälper till och bidrar med information.
  • De registrerade lämnar synpunkter när det är lämpligt.

Vilka som i övrigt bör medverka beror på er organisationsstruktur och interna arbetsfördelning. Det kan vara till exempel

  • it-avdelningen
  • jurister eller
  • externa experter inom juridik, säkerhet och teknik.

Den personuppgiftsansvarige

Den personuppgiftsansvarige ser till att konsekvensbedömningen genomförs. Ni kan utse vissa personer eller funktioner, såväl inom organisationen som externt, som ska arbeta med att ta fram konsekvensbedömningen. Den personuppgiftsansvarige bär dock alltid det yttersta ansvaret för att konsekvensbedömningen utförs.

Dataskyddsombudet

Om ni har utsett ett dataskyddsombud ska ni rådfråga det när konsekvensbedömningen utförs. Ni bör dokumentera de synpunkter som dataskyddsombudet lämnar, och de beslut som ni fattar. Dataskyddsombudet bör också fortlöpande övervaka genomförandet.

Personuppgiftsbiträdet

Om den planerade personuppgiftsbehandlingen helt eller delvis ska genomföras av ett personuppgiftsbiträde bör biträdet bistå er genom att lämna nödvändig information. Biträdet kan till exempel behöva informera om vilka tekniska säkerhetsåtgärder som finns inbyggda i deras system, och vilka personer som kan eller ska få åtkomst till uppgifterna.

De registrerade

Ni ska inhämta synpunkter från de registrerade eller deras företrädare när det är lämpligt. På vilket sätt synpunkterna ska inhämtas beror på den behandling som planeras.

I vissa situationer kan det vara lämpligt att genom enkäter eller andra undersökningar ta reda på hur de registrerade generellt uppfattar en viss behandling. I andra situationer är det mer lämpligt att begränsa sig till en viss kategori av registrerade, till exempel framtida kunder eller fackliga ombud på en berörd arbetsplats.

Datainspektionen

Datainspektionen har en informerande, rådgivande och kontrollerande roll, allt beroende på i vilken del av processen den personuppgiftsvarige eller personuppgiftsbiträdet befinner sig i. Datainspektionen kommer vanligen in först vid ett förhandssamråd.