Bedöm riskerna och planera åtgärderna för att genomföra dataskyddet
Den personuppgiftsansvarige ska alltid bedöma de risker som är förknippade med behandlingen av personuppgifter innan den börjar behandla personuppgifter.
Med en riskanalys identifierar den personuppgiftsansvarige redan i planeringsskedet de åtgärder som den ska vidta för att hantera riskerna och trygga en ändamålsenlig behandling av personuppgifter. Den personuppgiftsansvarige ska också säkerställa att dataskyddsprinciperna iakttas på ett effektivt sätt i förhållande till de risker som är förknippade med behandlingen.
En riskbedömning enligt dataskyddsförordningen ska göras ur den registrerades synvinkel, det vill säga att den personuppgiftsansvarige ska bedöma
- de friheter och rättigheter för den registrerade vilka behandlingen kan äventyra och
- de skador som kan orsakas för den registrerade på grund av den planerade behandlingen av personuppgifter.
Skadorna kan vara fysiska, materiella eller immateriella.
Med en skada som eventuellt orsakas av behandling av personuppgifter avses till exempel att man
- faller offer för bedrägeri
- drabbas av en ekonomisk förlust
- drabbas av en social skada, såsom förlorat anseende
- drabbas av hävande av pseudonymisering av personuppgifter.
En bra grund för en riskbedömning är att den personuppgiftsansvarige har en tydlig uppfattning om den egna behandlingen av personuppgifter. I bedömningen ska karaktären, omfattningen, sammanhanget och syftena beaktas vad gäller behandlingen av personuppgifter.
När de risker som behandlingen av personuppgifter orsakat för den registrerades rättigheter och friheter identifierats, ska allvaret i risken, den olägenhet som följer av den och sannolikheten att den blir verklighet bedömas.
Betydelsen av att identifiera en risk betonas i synnerhet då den personuppgiftsansvarige fastställer tekniska och organisatoriska åtgärder för att säkerställa genomförandet av dataskydd i behandlingen av personuppgifter. Med tekniska och organisatoriska åtgärder avses till exempel anvisningar som getts till personalen för att genomföra dataskyddet, användningskontroll som sker genom egenkontroll, informationssystemens datasäkerhet, kryptering av uppgifter och andra skyddsåtgärder.
Riskbedömning är kontinuerlig verksamhet: huruvida åtgärderna ligger på en adekvat nivå i förhållande till den risk som är förknippad med behandlingen ska bedömas oavbrutet och uppdateras vid behov. Den personuppgiftsansvarige har också en skyldighet att visa att en riskbaserad approach använts.
En konsekvensbedömning avseende dataskyddet är ett verktyg för att bedöma riskerna. En konsekvensbedömning är obligatorisk enbart då en planerad behandling kan orsaka en hög risk för människors rättigheter och friheter. Den personuppgiftsansvarige kan dock dra nytta av en konsekvensbedömning när som helst, då den planerar funktioner, i vilka avsikten är att behandla personuppgifter