Hur görs en konsekvensbedömning?

Utarbeta en beskrivning av karaktären, omfattningen, sammanhanget och syftena vad gäller behandlingen av personuppgifter Specificera den personuppgiftsansvarige och eventuella personuppgiftsbiträden.

Beskrivningen ska innehålla uppgifter om varför och hur personuppgifter avses behandlas. Du kan upprätta en beskrivning genom att följa livscykeln för behandling av personuppgifter: från insamlingen och behandlingen av personuppgifter till lagring och förstörning av uppgifter.  Beskrivningen ska redogöra för

• varifrån personuppgifter samlas in och hur
• syftena med behandlingen, användningssätten och en funktionell beskrivning av behandlingsåtgärderna
• de resurser som används för behandlingen av personuppgifter (anordningar, program, enskilda personer, handlingar eller kanaler som används för att förmedla handlingar)
• de personer som har tillgång till uppgifterna
• olika aktörer och syften för vilka uppgifter lämnas ut
• lagringstiden för uppgifterna och
• hur uppgifterna förstörs på ett säkert sätt.

Beskrivningen ska också redogöra för hur behandlingsåtgärderna och det anknutna beslutsfattandet dokumenteras och gransknings- och uppdateringspraxis för konsekvensbedömningen, till exempel då en behandlingsrelaterad risk ändras. Om behandlingen grundar sig på ett berättigat intresse hos den personuppgiftsansvarige eller en tredje part, ska ett utfört jämviktstest ingå i den systematiska beskrivningen. 

Fastställ de planerade åtgärderna för att iaktta dataskyddsförordningen. Säkerställ i detta samband att dataskyddsprinciperna och de registrerades rättigheter genomförs effektivt och identifiera övriga rättigheter och friheter som relaterar till behandlingen av personuppgifter.

A. Bedöm den planerade behandlingen med tanke på effektivt genomförande av dataskyddsprinciperna.

• Säkerställ att det finns ett visst, uttryckligt och lagligt användningssyfte för behandlingen av personuppgifter.
• Identifiera behandlingsgrunden för personuppgifterna.
• Behandla enbart uppgifter som är nödvändiga för användningssyftet.
• Säkerställ att uppgifterna är felfria. Planera åtgärder för att rätta och radera inexakta och felaktiga personuppgifter.
• Fastställ lagringstiderna för personuppgifter på så sätt att de lagras endast så länge som är nödvändigt för att genomföra de fastställda syftena. Sträva efter att minimera de personuppgifter som ska behandlas så snabbt som möjligt.
• Skydda personuppgifterna med tekniska och organisatoriska åtgärder.

B. Säkerställ att den registrerades rättigheter tillgodoses.

• Vidta åtgärder som främjar den registrerades rättigheter.
• Beakta att den registrerades dataskyddsrättigheter beror på grunden för att behandla personuppgifter. Säkerställ
  • informationen till den registrerade
  • tillgången till information och rätten att flytta uppgifterna mellan system
  • rätten till korrigering, radering, begränsning och invändning vad gäller uppgifterna.
• Utred förhållandena till personuppgiftsbiträden och säkerställ förutsättningarna för samarbete för att tillgodose den registrerades rättigheter.
• Analysera skyddsåtgärder som anknyter till internationella överföringar.
• Om behandlingen av personuppgifter är förknippad med en hög risk trots de vidtagna åtgärderna, framför en begäran om föregående samråd till dataskyddsmyndigheten innan behandlingen inleds.

C. Identifiera andra rättigheter och friheter i anknytning till behandlingen av personuppgifter. 

• De rättigheter och friheter som ska tryggas i samband med insamling av personuppgifter (bl.a. hemfrid, konfidentiell kommunikation).
• De rättigheter och friheter som anknyter till syftet för användningen av personuppgifter (bl. a. egendom, hälsa, självbestämmanderätt, rörelsefrihet, rätten att bli bedömd utifrån felfria uppgifter).
• Eventuella förbjudna eller oavsiktliga biverkningar av behandlingen av personuppgifter (t.ex. diskriminering).

Identifiera de risker som är förknippade med behandling av personuppgifter med beaktande av behandlingens karaktär, omfattning, sammanhanget och syften samt riskens ursprung. Gör en riskbedömning separat för varje risk. När du identifierar en risk, kan du i följande skede bedöma de åtgärder med vilka risken och sannolikheten att den blir verklighet kan sänkas.

• Gör en riskbedömning där fokus ligger på rättigheter och friheter för registrerade vilka anknyter till den planerade behandlingen av personuppgifter samt de risker som hänför sig till dessa.
• Identifiera hot som kan leda till olaglig tillgång till, osaklig ändring av och/eller försvunna uppgifter.
• Identifiera konsekvenserna för den registrerade av att en risk blir verklighet.
• Bedöm sannolikheten av att en risk blir verklighet och dess allvar.

Nedan följer exempel på risker förknippade med behandling av personuppgifter:

• dataskyddsincidenter som gäller personuppgifter
  • lagstridig förstöring eller ändring av personuppgifter
  • förstöring eller ändring av personuppgifter i misstag
  • olovlig överlåtelse av eller åtkomst till uppgifter
  • annan förlorad kontroll över personuppgifter
     
• risker på grund av den personuppgiftsansvariges eller personuppgiftsbiträdets avgöranden
  • oklarheter kring användningssyftet eller lagligheten
  • övriga dataskyddsprinciper iakttas inte på behörigt sätt
  • bristfälligt dataskydd
     
• risker som orsakas av arbetstagarna
  • olovlig behandling av personuppgifter
  • spioneri 
     
• olovligt tillträde för utomstående eller inverkan på behandlingen av personuppgifter av dessa
  • personuppgifter har fåtts med brottsliga eller andra metoder
  • orättmätigt utnyttjande av personuppgifter eller avslöjande av personuppgifter till utomstående
     
• risker som inte beror på mänsklig verksamhet
  • fel eller störningar i en behandlingsanordning, en plattform eller ett datamedium
  • risker av som sedvanligen är förknippade med behandlingen – brand, översvämning och elavbrott
     
• databrott som allmänt anknyter till databehandling och -överföring
  • orsakande av fara för behandlingen av uppgifter
  • dataintrång
  • störning av ett informationssystem
  • störning av datatrafiken
  • dataskadegörelse
     
• brott som gäller personuppgifter 
  • identitetsstöld
  • sekretessbrott
     
• risker som gäller personuppgifter 
  • karaktär (känslig karaktär och/eller sekretessbeläggning)
  • icke-kompatibelt syfte/behandlingssammanhang
  • orättmätig behandling utan tillstånd av den personuppgiftsansvarige
  • användbarheten av personuppgifter för t.ex. identitetsstölder
  • orättmätig användning av elektroniska tjänster med användarkoder och lösenord som fåtts på olaglig väg

Specificera riskkällan för varje identifierade risk och bedöm metoder för att minska risken. Metoderna kan utgörs av bland annat:

• beslut om att inte behandla vissa typer av uppgifter
• precisering eller avgränsning av behandlingsobjektet
• förkortning av förvaringstiderna
• idrifttagande av en extra skyddsåtgärd som är nödvändig sett till risken
• anonymisering och pseudonymisering av personuppgifter
• ibruktagande av skriftliga behandlingsåtgärder
• utökat mänskligt deltagande i automatiserade beslut
• användning av annan teknik
• idrifttagande av tydliga avtal om informationsutbyte
• tillhandahållande av rätt till förbud för den registrerade, om det är möjligt
• idrifttagande av system och förfaranden som främjar utövandet av dataskyddsrättigheter för enskilda.

Dokumentera ovan behandlade behandlingsskeden och motivera valen och åtgärderna.

Anteckna för varje risk de åtgärder som vidtas för att minska risken och en bedömning av om risken med de föreslagna åtgärderna är utesluten, sänkt eller godkänd. Det är inte nödvändigt eller möjligt att undanröja eller utesluta alla risker. Om konsekvensbedömningen visar att en behandlingsrelaterad risk är hög, och den personuppgiftsansvarige inte kan sänka risken med sina åtgärder, ska den personuppgiftsansvarige framföra en begäran om föregående samråd till dataskyddsmyndigheten.

Införliva resultaten av konsekvensbedömningen i det planerade projektet för att bereda och genomföra de praktiska åtgärderna.  När behandling påbörjas, är det väsentligt att följa om de valda åtgärderna är adekvata. En konsekvensbedömning ska göras på nytt åtminstone då du identifierar en ny form av risk eller då en risk som ingår i behandlingsåtgärderna ändras.