Konsekvensbedömning
Syftet med en konsekvensbedömning är att hjälpa att identifiera, bedöma och hantera de risker som är förknippade med behandlingen av personuppgifter.
Konsekvensbedömningen omfattar en beskrivning av behandlingen av personuppgifter, en bedömning av nödvändigheten av behandlingen, dess proportionalitet och de risker som orsakas av behandlingen av personuppgifter och nödvändiga åtgärder för att ingripa mot risker. Målet är att bedöma om den återstående risken är berättigad och godtagbar i rådande förhållanden. En konsekvensbedömning hjälper den personuppgiftsansvarige att iaktta kraven i dataskyddslagstiftningen och att dokumentera och bevisa efterlevnaden.
Den personuppgiftsansvarige ska begära råd av dataskyddsombudet vad gäller genomförandet av konsekvensbedömningen, om den personuppgiftsansvarige utnämnt ett dataskyddsombud. Om ett personuppgiftsbiträde helt eller delvis behandlar personuppgifter, ska denna bidra till konsekvensbedömningen.
En konsekvensbedömning kan gälla en enskild behandlingsåtgärd eller en kategori av behandlingsåtgärder. En bedömning kan användas enbart i konsekvensbedömning av liknande behandlingsåtgärder.
En konsekvensbedömning är avsedd att vara en oavbruten process för att identifiera och hantera risker. En konsekvensbedömning ska göras innan behandlingen inleds och den ska vid behov uppdateras. En uppdatering är nödvändig åtminstone då de risker som följer av behandlingsåtgärderna ändras. Ändringarna kan gälla behandlingens sammanhang, syftena, de personuppgifter som behandlas (vems eller vilka personuppgifter behandlas), mottagarna, sammanslagning av uppgifter, skyddsåtgärderna, överföring av uppgifter till områden utanför EU eller EES och idrifttagande av ny teknik.
Kraven på konsekvensbedömning tillämpas också på behandlingsåtgärder som påbörjats före 25.5.2018 och redan pågår. Den personuppgiftsansvarige ska alltså göra en konsekvensbedömning av pågående behandling då en sådan plikt skulle förekomma också i övrigt enligt dataskyddslagstiftningen.
När kräver behandling av personuppgifter konsekvensbedömning?
Skyldigheten att göra en konsekvensbedömning kan följa av
- de behandlingssituationer som specificerats i dataskyddsförordningen
- ett tillägg av en behandlingsåtgärd i dataskyddsmyndighetens förteckning
- den nationella lagstiftningen
Konsekvensbedömning med anledning de behandlingssituationer som specificerats i dataskyddsförordningen
En konsekvensbedömning ska göras åtminstone då en planerad behandling sannolikt orsakar en hög risk för de enskildas rättigheter och friheter. En konsekvensbedömning ska göras i synnerhet då
- ny teknologi används i behandlingen av personuppgifter
- behandlingen i hög grad omfattar brottmålsdomar, förseelser eller särskilda kategorier av personuppgifter såsom hälsouppgifter, etniskt ursprung, politiska åsikter, religiös övertygelse eller sexuell läggning
- en enskild persons personliga egenskaper bedöms med automatisk behandling, systematiskt och på omfattande sätt, och bedömningen leder till beslut, som kan ha rättsverkningar eller som i övrigt har betydande konsekvenser för personen
- ett område som är öppet för allmänheten övervakas systematiskt och på omfattande sätt.
Dataskyddsgruppens anvisning om konsekvensbedömningen
Dataskyddsgruppen har utarbetat en anvisning, där den ger mer detaljerade och praktisk orienterade exempel på de situationer där en konsekvensbedömning ska göras enligt dataskyddsförordningen. Läs mer om anvisningen om konsekvensbedömningen (pdf).
Enligt anvisningen ska en konsekvensbedömning avseende dataskyddet i allmänhet också göras då två av följande kriterier uppfylls vad gäller behandlingen av personuppgifter. Ju fler kriterier behandlingen uppfyller, desto sannolikare är det att den orsakar en hög risk för de registrerades rättigheter och friheter.
Kriterier för att bedöma en hög risk
Bedömning eller poängsättning av den registrerades arbetsprestation, ekonomiska ställning, hälsa, personliga preferenser, intressen, pålitlighet, beteende, position eller rörelse (inklusive profileringen och förutsägning).
Till exempel:
- Ett finansinstitut som bedömer sina kunder i ljuset av en referensdatabas som gäller kreditverksamhet, en databas som gäller penningtvätt och finansiering av terrorism eller en databas som gäller bedrägerier.
- Ett företag inom bioteknikområdet, som erbjuder gentester direkt till konsumenter för att kunna bedöma och förutsäga sjukdoms- eller hälsorisker.
- Ett företag som skapar beteende- eller marknadsföringsprofiler, som grundar sig på användningen av en webbplats eller rörelsen på en webbplats.
När beslut fattas automatiskt och besluten har rättsverkningar eller andra motsvarande betydande konsekvenser. Les mer om automatisk beslutfattande
Personuppgifter kan samlas in i förhållanden där de registrerade inte nödvändigtvis är medvetna om vem som samlar in uppgifter om dem och hur de kommer att användas. Därtill kan det vara omöjligt för enskilda personer att undvika att bli föremål för sådan uppgiftsbehandling i lokaler som är offentliga eller öppna för allmänheten. Kontroll kan avse till exempel passerkontroll, kameraövervakning eller motsvarande åtgärder.
Exempel:
- Behandling av uppgifter som används för observation, övervakning eller kontroll av de registrerade och insamling av uppgifter med nät.
- Systematisk omfattande övervakning av ett område som är öppet för allmänheten.
Denna kategori omfattar bland annat särskilda kategorier av personuppgifter och personuppgifter som gäller brott och förseelser. Detta kriterium kan omfatta också personliga handlingar, såsom e-post, dagböcker, talböcker med anteckningsfunktioner, anteckningar i en läsapparat och väldigt personliga uppgifter i lifeblogging-appar som är avsedda för att lagra det personliga livet.
Exempel:
- Ett allmänt sjukhus som administrerar patientfiler.
- En privatdetektiv som lagrar uppgifter om gärningsmän.
- Elektronisk kommunikation, vars konfidentiella karaktär borde skyddas.
- Positioneringsuppgifter, vars insamling ligger i gråzonen vad gäller rätten till fri rörlighet.
- Ekonomiska uppgifter som kan användas för betalningsmedelsbedrägeri.
- Insamling av uppgifter om misstänkt beteende hos en kund i en nätbutik.
I detta samband kan det också vara av betydelse om den registrerade själv eller en tredje part redan gjort uppgifterna allmänt tillgängliga. Det finns inte någon etablerad definition av termen ”allmänt tillgänglig”, utan bedömningen ska göras från fall till fall. Att personuppgifter är allmänt tillgängliga, kan anses vara väsentligt för bedömningen, om uppgifterna förväntats användas för specifika ändamål i fortsättningen.
Vid bedömningen av omfattningen rekommenderas det att bland annat beakta följande omständigheter:
- antalet registrerade parter, antingen som en exakt siffra eller som andel av en viss kategori, såsom av en stads eller stats befolkning
- mängden på de uppgifter som ska behandlas och/eller mängden på de separata informationsenheter som ska behandlas
- behandlingsåtgärdernas längd eller varaktighet
- behandlingsåtgärdernas geografiska dimension.
Samordnande eller sammanslagning av uppgiftshelheter på ett sätt som är oförutsägbart och oväntat för den registrerade.
Till exempel:
- En personuppgiftsansvarig slår samman uppgiftshelheter som har sitt ursprung i behandlingsåtgärder som vidtagits för två eller flera syften eller av olika personuppgiftsansvariga.
- Två olika aktörers kundregister slås samman vid företagsomstrukturering.
Den registrerade kan ha svårt att till exempel göra en invändning mot behandling av personuppgifter eller att utöva andra rättigheter, om han eller hon befinner sig i en svag ställning gentemot den personuppgiftsansvarige.
Med personer i svag ställning avses till exempel
- barn
- arbetstagare
- patienter
- äldre
- asylsökanden.
Användning av ny teknik kan omfatta nya former av insamling och användning av uppgifter, vilka eventuellt omfattar en hög risk som gäller personernas rättigheter och friheter. Till exempel vissa Sakernas Internet (IoT) -appar kan ha en betydande inverkan på enskilda personers vardag och integritet, och de förutsätter en konsekvensbedömning avseende dataskyddet.
Till exempel:
- Sammanslagning av fingeravtrycks- och ansiktsidentifiering för att förbättra passerkontrollen.
- Hindrande av de registrerades rättigheter, tjänster eller avtal.
- Målet med behandlingen av personuppgifter är att tillåta eller hindra de registrerades rätt att anlita en tjänst, ingå ett avtal eller ändra rättigheten i fråga.
Till exempel:
- En bank bedömer sina kunder i ljuset av en referensdatabas som anknyter till kreditverksamhet för att fatta ett beslut om en låneoffert.
Nationell lagstiftning
I den nationella lagstiftningen är det möjligt att förutsätta konsekvensbedömning inom ramen för det nationella svängrum som ges i EU:s allmänna dataförordning.
EU:s allmänna dataförordning i EUR-Lex
Till exempel en förutsättning för att avvika från den registrerades rättigheter i vetenskapliga och historiska forskningsändamål som avses i 31 § i dataskyddslagen kan vara utförande av en konsekvensbedömning och inlämnande av den till dataskyddsombudsmannen. I detta fall anknyter konsekvensbedömningen till en situation där registeransvarig behandlar särskilda personuppgifter eller personuppgifter relaterade till straffrättsliga domar och förbrytelser i historisk och vetenskaplig forskning samt statistik och vill avvika från vissa rättigheter som registrerade har.
Mer information: Undantag från den registrerades rättigheter i samband med vetenskaplig eller historisk forskning eller statistikföring
Dataombudsmannens beslut om en förteckning över behandling av personuppgifter som omfattas av konsekvensbedömning
Uppdaterad 21.12.2018
Artikel 35.1 i dataskyddsförordningen förutsätter att konsekvensbedömning utförs om behandlingen leder till en hög risk för registrerades rättigheter och friheter.
Artikel 35.3 i dataskyddsförordningen innehåller en icke-uttömmande förteckning över behandlingsverksamheter som kräver konsekvensbedömning.
Enligt artikel 35.4 i dataskyddsförordningen ska dataskyddsmyndigheten upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning.
Förteckningens karaktär
Denna förteckning är inte uttömmande.
Hänvisning till anvisningarna
Denna förteckning kompletterar artikel 35.1 i dataskyddsförordningen. Denna förteckning har upprättats utifrån utlåtande 248 av Dataskyddsgrupp 29 (Anvisningar om konsekvensbedömning av dataskydd och metoderna för att utreda om ”behandlingen sannolikt är förknippad" med en i förordningen (EU) 2016/679 avsedd "hög risk"), och den kompletterar och preciserar detta utlåtande.
Dataombudsmannens byrå anser att en konsekvensbedömning ska upprättas i samband med följande behandlingar:
Biometriska uppgifter
Utan att begränsa tillämpningen av artikel 35.3 i dataskyddsförordningen, ska en konsekvensbedömning göras då biometriska uppgifter behandlas för entydig identifiering och därtill då ett av följande kriterier är uppfyllda:
- biometriska uppgifter behandlas för att bedöma eller poängsätta en person
- biometriska uppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
- biometriska uppgifter behandlas i samband med systematisk övervakning
- biometriska uppgifter behandlas i stor omfattning
- biometriska uppgifter samordnas eller slås samman till datahelheter
- de biometriska uppgifter som behandlas gäller sårbara registrerade
- i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
- behandlingen av biometriska uppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst
Genetiska uppgifter
Utan att begränsa tillämpningen av artikel 35.3 i dataskyddsförordningen, ska en konsekvensbedömning göras då genetiska uppgifter behandlas och därtill då ett av följande kriterier är uppfyllda:
- genetiska uppgifter behandlas för att bedöma eller poängsätta en person
- genetiska uppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
- genetiska uppgifter behandlas i samband med systematisk övervakning
- genetiska uppgifter behandlas i stor omfattning
- genetiska uppgifter samordnas eller slås samman till datahelheter
- genetiska uppgifter som gäller sårbara registrerade behandlas
- i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
- behandlingen av genetiska uppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst
Lokaliseringsuppgifter
När lokaliseringsuppgifter behandlas och minst ett av följande kriterier är uppfyllda
- lokaliseringsuppgifter behandlas för att bedöma eller poängsätta en person
- lokaliseringsuppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
- lokaliseringsuppgifter behandlas i samband med systematisk övervakning
- lokaliseringsuppgifterna avslöjar känsliga uppgifter eller uppgifter av väldigt personlig karaktär
- lokaliseringsuppgifter behandlas i stor omfattning
- lokaliseringsuppgifter samordnas eller slås samman till datahelheter
- lokaliseringsuppgifter som gäller sårbara registrerade behandlas
- i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
- behandlingen av lokaliseringsuppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst
Undantag från information till en registrerad med stöd av artikel 14.5 i dataskyddsförordningen
Då den personuppgiftsansvarige med stöd av artikel 14.5 b i dataskyddsförordningen avviker från kravet på att ge den registrerade information och därtill då åtminstone ett av följande kriterier uppfylls
- personuppgifter behandlas för att bedöma eller poängsätta en person
- personuppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
- personuppgifter behandlas i samband med systematisk övervakning
- personuppgifter behandlas i stor omfattning
- personuppgifter samordnas eller slås samman till datahelheter
- personuppgifter som gäller sårbara registrerade behandlas
- personuppgifter behandlas i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
- behandlingen av personuppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst
Whistleblowing
Genom angivningssystem kan en personalmedlem eller annan part anonymt anmäla oetisk verksamhet som strider mot en organisations värderingar eller interna förseelser. Syftet med angivningssystemet kan till exempel vara att säkerställa att principerna för besluts- och övervakningssystem iakttas på ändamålsenligt sätt i organisationens dagliga förvaltning.
Anvisning om konsekvensbedömning avseende dataskydd
Dataombudsmannens byrå har publicerat en anvisning om konsekvensbedömning avseende dataskydd för att stödja personuppgiftsansvariga. Vid sidan av anvisningen har även ett enkelt Excel-registreringsverktyg tagits fram. Verktyget kan användas för att göra en konsekvensbedömning, om så önskas.
Anvisningen kan i tillämpliga delar också användas för en konsekvensbedömning i enlighet med dataskyddslagen för brottmål. Skillnaderna och likheterna tydliggörs i bilagan till anvisningen.
- Anvisning om konsekvensbedömning avseende dataskydd (pdf)
- Verktyg för konsekvensbedömning avseende dataskydd (bilaga I) (.xlsx-fil)
- Konsekvensbedömning avseende dataskydd enligt dataskyddslagen för brottmål (bilaga II) (pdf)