Konsekvensbedömning

Syftet med en konsekvensbedömning är att hjälpa att identifiera, bedöma och hantera de risker som är förknippade med behandlingen av personuppgifter. Den är avsedd att vara en oavbruten process för att identifiera och hantera risker. En konsekvensbedömning ska göras innan behandlingen inleds och den ska vid behov uppdateras.

Konsekvensbedömningen omfattar en beskrivning av behandlingen av personuppgifter, en bedömning av nödvändigheten av behandlingen, dess proportionalitet och de risker som orsakas av behandlingen av personuppgifter och nödvändiga åtgärder för att ingripa mot risker. En konsekvensbedömning ska göras när man planerar en behandling av personuppgifter som sannolikt leder till en hög risk för den registrerades rättigheter och friheter.

Målet är att bedöma om den återstående risken är berättigad och godtagbar i rådande förhållanden. En konsekvensbedömning hjälper den personuppgiftsansvarige att iaktta kraven i dataskyddslagstiftningen och att dokumentera och bevisa efterlevnaden.

Den personuppgiftsansvarige ska begära råd av dataskyddsombudet vad gäller genomförandet av konsekvensbedömningen, om den personuppgiftsansvarige utnämnt ett dataskyddsombud. Om ett personuppgiftsbiträde helt eller delvis behandlar personuppgifter, ska denna bidra till konsekvensbedömningen.

En konsekvensbedömning kan gälla en enskild behandlingsåtgärd eller en kategori av behandlingsåtgärder. En bedömning kan användas enbart i konsekvensbedömning av liknande behandlingsåtgärder. Det är också lämpligt att regelbundet utvärdera behovet av uppdatering, t.ex. vartannat år.

En uppdatering är nödvändig då de risker som följer av verksamhetsomgivningen, lagstiftningen, eller behandlingsåtgärderna ändras. Ändringarna kan gälla behandlingens sammanhang, syftena, de personuppgifter som behandlas (vems eller vilka personuppgifter behandlas), mottagarna, sammanslagning av uppgifter, skyddsåtgärderna, överföring av uppgifter till områden utanför EU eller EES och idrifttagande av ny teknik.

Kraven på konsekvensbedömning tillämpas också på behandlingsåtgärder som påbörjats före 25.5.2018 och redan pågår. Den personuppgiftsansvarige ska alltså göra en konsekvensbedömning av pågående behandling då en sådan plikt skulle förekomma också i övrigt enligt dataskyddslagstiftningen.

När kräver behandling av personuppgifter konsekvensbedömning?

Skyldigheten att göra en konsekvensbedömning kan följa av

  • de behandlingssituationer som specificerats i dataskyddsförordningen
  • ett tillägg av en behandlingsåtgärd i dataskyddsmyndighetens förteckning
  • den nationella lagstiftningen 

Konsekvensbedömning med anledning de behandlingssituationer som specificerats i dataskyddsförordningen

En konsekvensbedömning ska göras då en planerad behandling sannolikt orsakar en hög risk för de enskildas rättigheter och friheter. En konsekvensbedömning ska göras i synnerhet då

  • ny teknologi används i behandlingen av personuppgifter
  • behandlingen i hög grad omfattar brottmålsdomar, förseelser eller särskilda kategorier av personuppgifter såsom hälsouppgifter, etniskt ursprung, politiska åsikter, religiös övertygelse eller sexuell läggning
  • en enskild persons personliga egenskaper bedöms med automatisk behandling, systematiskt och på omfattande sätt, och bedömningen leder till beslut, som kan ha rättsverkningar eller som i övrigt har betydande konsekvenser för personen
  • ett område som är öppet för allmänheten övervakas systematiskt och på omfattande sätt.

Dataskyddsgruppen har utarbetat en anvisning, där den ger mer detaljerade och praktisk orienterade exempel på de situationer där en konsekvensbedömning ska göras. Enligt anvisningen ska en konsekvensbedömning avseende dataskyddet i allmänhet också göras då två av följande kriterier uppfylls vad gäller behandlingen av personuppgifter. Ju fler kriterier behandlingen uppfyller, desto sannolikare är det att den orsakar en hög risk för de registrerades rättigheter och friheter.

Läs mer om anvisningen om konsekvensbedömningen (pdf)​​​​​​​

Kriterier för att bedöma en hög risk

Nationell lagstiftning

I den nationella lagstiftningen är det möjligt att förutsätta konsekvensbedömning inom ramen för det nationella svängrum som ges i allmänna dataförordningen.

Till exempel en förutsättning för att avvika från den registrerades rättigheter i vetenskapliga och historiska forskningsändamål som avses i 31 § i dataskyddslagen kan vara utförande av en konsekvensbedömning och inlämnande av den till dataombudsmannen.

I detta fall anknyter konsekvensbedömningen till en situation där registeransvarig behandlar särskilda personuppgifter eller personuppgifter relaterade till straffrättsliga domar och förbrytelser i historisk och vetenskaplig forskning samt statistik och vill avvika från vissa registrerades rättigheter.

Mer information: Undantag från den registrerades rättigheter i samband med vetenskaplig eller historisk forskning eller statistikföring

Anvisning om konsekvensbedömning avseende dataskydd

Dataombudsmannens byrå har publicerat en anvisning om konsekvensbedömning avseende dataskydd för att stödja personuppgiftsansvariga. Vid sidan av anvisningen har även ett enkelt Excel-registreringsverktyg tagits fram. Verktyget kan användas för att göra en konsekvensbedömning, om så önskas.

Anvisningen kan i tillämpliga delar också användas för en konsekvensbedömning i enlighet med dataskyddslagen för brottmål. Skillnaderna och likheterna tydliggörs i bilagan till anvisningen.