meny

Vem måste göra en konsekvensbedömning?

Utgå från en riskanalys

Om er behandling av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter ska ni alltid göra en konsekvensbedömning. För att veta om ni måste göra en konsekvensbedömning måste ni alltså först göra en riskanalys.

Att bedöma risk

För att kunna bedöma en risk ska man analysera risken, det vill säga beskriva

  • händelsen och varför den är en potentiell risk
  • hur sannolikt det är att händelsen inträffar
  • hur allvarliga konsekvenserna blir om händelsen inträffar.

Exempel: Hög risk kan det vara om det saknas tillräckliga säkerhetsåtgärder, så att "fel" personer får tillgång till personlig eller känslig information, till exempel uppgifter som kan leda till risk för diskriminering, identitetsstöld, bedrägeri, ekonomisk förlust eller skadat anseende.

Ni måste kontinuerligt bedöma den risk som uppkommer vid era personuppgiftsbehandlingar. Förutom risken för den enskildes personliga integritet måste ni titta på risken när det gäller andra grundläggande rättigheter, till exempel

  • yttrandefrihet
  • tankefrihet
  • fri rörlighet
  • förbud mot diskriminering
  • rätt till frihet, samvete och religion.

Exempel på behandlingar som sannolikt leder till hög risk

Dataskyddsförordningen ger tre exempel på behandlingar som sannolikt leder till hög risk:

  • När ni använder automatiskt beslutsfattande som grundar sig på en systematisk och omfattande bedömning av människors personliga aspekter, till exempel profilering.
  • När ni behandlar uppgifter om lagöverträdelser eller känsliga personuppgifter, till exempel uppgifter om hälsa, religiös tro, politisk uppfattning eller etniskt ursprung, i stor omfattning.
  • När ni systematiskt övervakar en allmän plats i stor omfattning, genom till exempel kameraövervakning.

Datainspektionen kommer att ta fram exempel på personuppgiftsbehandlingar som omfattas av kravet på konsekvensbedömningar. Datainspektionen kan dock inte ge en uttömmande lista på behandlingar som leder till hög risk.

Vilka måste göra en konsekvensbedömning?

Om er behandling faller in under någon av nedanstående kategorier kan det innebära att ni behöver göra en konsekvensbedömning. Om två eller flera av punkterna är uppfyllda ska ni i de allra flesta fall göra en konsekvensbedömning. I tveksamma fall bör ni alltid göra en konsekvensbedömning. Ni bör överväga att göra en konsekvensbedömning om ni

  • utvärderar eller poängsätter människor, till exempel ett företag som erbjuder genetiska tester till konsumenter för att bedöma risker för sjukdomar, ett kreditupplysningsföretag eller ett företag som profilerar internetanvändare
  • behandlar personuppgifter i syfte att fatta automatiska beslut som har rättsliga följder eller liknande betydande följder för den registrerade
  • systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer
  • behandlar känsliga personuppgifter eller uppgifter som är mycket personliga, till exempel ett sjukhus som lagrar patientjournaler, ett företag som samlar in lokaliseringsuppgifter eller en bank som hanterar finansiella uppgifter.
  • behandlar personuppgifter i stor omfattning
  • kombinerar personuppgifter från två eller flera behandlingar på ett sätt som den registrerade inte förväntar sig, till exempel när man samkör register
  • behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, exempelvis barn, anställda, asylsökande, äldre och patienter
  • använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (Internet of things, IoT)
  • behandlar personuppgifter på ett sätt som hindrar de registrerade från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån

Exempel 1: Informationssystem på sjukhus

Ett sjukhus behandlar patienternas genetiska uppgifter och hälsouppgifter.

Riskkriterier:

  • Känsliga uppgifter eller uppgifter av mycket personlig karaktär.
  • Uppgifter som rör sårbara registrerade.
  • Uppgifter som behandlas i stor omfattning.

Exempel 2: Kamerasystem för övervakning av körbeteende

Den personuppgiftsansvarige planerar att använda ett system för intelligent videoanalys för att skilja ut bilar och automatiskt känna igen registreringsskyltar.

Riskkriterier:

  • Systematisk övervakning.
  • Innovativ användning eller tillämpning av tekniska eller organisatoriska lösningar.

Konsekvensbedömning är inte alltid nödvändig

Om det redan har gjorts en konsekvensbedömning för en behandling som är mycket lik den planerade behandlingen behöver ni inte göra en ny konsekvensbedömning. Då kan resultatet från den tidigare konsekvensbedömningen användas. Ni behöver dock granska den tidigare konsekvensbedömningen för att säkerställa att den verkligen är lämplig att använda även för den nya behandlingen.

En konsekvensbedömning behöver inte heller göras om den planerade personuppgiftsbehandlingen inte sannolikt leder till en hög risk för enskildas fri- och rättigheter. Här följer två exempel på fall där man inte behöver göra en konsekvensbedömning eftersom det troligen inte är hög risk. Men observera att i tveksamma fall bör ni alltid göra en konsekvensbedömning. Tänk på att motivera och dokumentera era överväganden.

Exempel 1: Nyhetsbrev

En nättidskrift använder en sändlista för att dagligen skicka ett allmänt nyhetsbrev till sina prenumeranter.

Riskkriterier: Uppgifter som behandlas i stor omfattning.

Exempel 2: En webbplats för e-handel

En webbplats för e-handel visar annonser för begagnade bildelar med begränsad profilering och med utgångspunkt i varor som visats eller köpts på den egna webbplatsen.

Riskkriterier: Utvärdering eller poängsättning.