Dataombudsmannens beslut om en förteckning över behandling av personuppgifter som omfattas av konsekvensbedömning

Uppdaterad 21.12.2018

Artikel 35.1 i dataskyddsförordningen förutsätter att konsekvensbedömning utförs om behandlingen leder till en hög risk för registrerades rättigheter och friheter.

Artikel 35.3 i dataskyddsförordningen innehåller en icke-uttömmande förteckning över behandlingsverksamheter som kräver konsekvensbedömning.

Enligt artikel 35.4 i dataskyddsförordningen ska dataskyddsmyndigheten upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning.

Förteckningens karaktär

Denna förteckning är inte uttömmande.

Hänvisning till anvisningarna

Denna förteckning kompletterar artikel 35.1 i dataskyddsförordningen. Denna förteckning har upprättats utifrån utlåtande 248 av Dataskyddsgrupp 29 (Anvisningar om konsekvensbedömning av dataskydd och metoderna för att utreda om ”behandlingen sannolikt är förknippad" med en i förordningen (EU) 2016/679 avsedd "hög risk"), och den kompletterar och preciserar detta utlåtande.

Dataombudsmannens byrå anser att en konsekvensbedömning ska upprättas i samband med följande behandlingar:

Biometriska uppgifter

Utan att begränsa tillämpningen av artikel 35.3 i dataskyddsförordningen, ska en konsekvensbedömning göras då biometriska uppgifter behandlas för entydig identifiering och därtill då ett av följande kriterier är uppfyllda:

  • biometriska uppgifter behandlas för att bedöma eller poängsätta en person
  • biometriska uppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
  • biometriska uppgifter behandlas i samband med systematisk övervakning
  • biometriska uppgifter behandlas i stor omfattning
  • biometriska uppgifter samordnas eller slås samman till datahelheter
  • de biometriska uppgifter som behandlas gäller sårbara registrerade
  • i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
  • behandlingen av biometriska uppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst

Genetiska uppgifter

Utan att begränsa tillämpningen av artikel 35.3 i dataskyddsförordningen, ska en konsekvensbedömning göras då genetiska uppgifter behandlas och därtill då ett av följande kriterier är uppfyllda:

  • genetiska uppgifter behandlas för att bedöma eller poängsätta en person
  • genetiska uppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
  • genetiska uppgifter behandlas i samband med systematisk övervakning
  • genetiska uppgifter behandlas i stor omfattning
  • genetiska uppgifter samordnas eller slås samman till datahelheter
  • genetiska uppgifter som gäller sårbara registrerade behandlas
  • i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
  • behandlingen av genetiska uppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst

Lokaliseringsuppgifter

När lokaliseringsuppgifter behandlas och minst ett av följande kriterier är uppfyllda

  • lokaliseringsuppgifter behandlas för att bedöma eller poängsätta en person
  • lokaliseringsuppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
  • lokaliseringsuppgifter behandlas i samband med systematisk övervakning
  • lokaliseringsuppgifterna avslöjar känsliga uppgifter eller uppgifter av väldigt personlig karaktär
  • lokaliseringsuppgifter behandlas i stor omfattning
  • lokaliseringsuppgifter samordnas eller slås samman till datahelheter
  • lokaliseringsuppgifter som gäller sårbara registrerade behandlas
  • i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
  • behandlingen av lokaliseringsuppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst

Undantag från information till en registrerad med stöd av artikel 14.5 i dataskyddsförordningen

Då den personuppgiftsansvarige med stöd av artikel 14.5 b i dataskyddsförordningen avviker från kravet på att ge den registrerade information och därtill då åtminstone ett av följande kriterier uppfylls

  • personuppgifter behandlas för att bedöma eller poängsätta en person
  • personuppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
  • personuppgifter behandlas i samband med systematisk övervakning
  • personuppgifter behandlas i stor omfattning
  • personuppgifter samordnas eller slås samman till datahelheter
  • personuppgifter som gäller sårbara registrerade behandlas
  • personuppgifter behandlas i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
  • behandlingen av personuppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst

Whistleblowing

Genom angivningssystem kan en personalmedlem eller annan part anonymt anmäla oetisk verksamhet som strider mot en organisations värderingar eller interna förseelser. Syftet med angivningssystemet kan till exempel vara att säkerställa att principerna för besluts- och övervakningssystem iakttas på ändamålsenligt sätt i organisationens dagliga förvaltning.