Konsekvensbedömning
Syftet med en konsekvensbedömning är att hjälpa att identifiera, bedöma och hantera de risker som är förknippade med behandlingen av personuppgifter. Den är avsedd att vara en oavbruten process för att identifiera och hantera risker. En konsekvensbedömning ska göras innan behandlingen inleds och den ska vid behov uppdateras.
Konsekvensbedömningen omfattar en beskrivning av behandlingen av personuppgifter, en bedömning av nödvändigheten av behandlingen, dess proportionalitet och de risker som orsakas av behandlingen av personuppgifter och nödvändiga åtgärder för att ingripa mot risker. En konsekvensbedömning ska göras när man planerar en behandling av personuppgifter som sannolikt leder till en hög risk för den registrerades rättigheter och friheter.
Målet är att bedöma om den återstående risken är berättigad och godtagbar i rådande förhållanden. En konsekvensbedömning hjälper den personuppgiftsansvarige att iaktta kraven i dataskyddslagstiftningen och att dokumentera och bevisa efterlevnaden.
Den personuppgiftsansvarige ska begära råd av dataskyddsombudet vad gäller genomförandet av konsekvensbedömningen, om den personuppgiftsansvarige utnämnt ett dataskyddsombud. Om ett personuppgiftsbiträde helt eller delvis behandlar personuppgifter, ska denna bidra till konsekvensbedömningen.
En konsekvensbedömning kan gälla en enskild behandlingsåtgärd eller en kategori av behandlingsåtgärder. En bedömning kan användas enbart i konsekvensbedömning av liknande behandlingsåtgärder. Det är också lämpligt att regelbundet utvärdera behovet av uppdatering, t.ex. vartannat år.
En uppdatering är nödvändig då de risker som följer av verksamhetsomgivningen, lagstiftningen, eller behandlingsåtgärderna ändras. Ändringarna kan gälla behandlingens sammanhang, syftena, de personuppgifter som behandlas (vems eller vilka personuppgifter behandlas), mottagarna, sammanslagning av uppgifter, skyddsåtgärderna, överföring av uppgifter till områden utanför EU eller EES och idrifttagande av ny teknik.
Kraven på konsekvensbedömning tillämpas också på behandlingsåtgärder som påbörjats före 25.5.2018 och redan pågår. Den personuppgiftsansvarige ska alltså göra en konsekvensbedömning av pågående behandling då en sådan plikt skulle förekomma också i övrigt enligt dataskyddslagstiftningen.
När kräver behandling av personuppgifter konsekvensbedömning?
Skyldigheten att göra en konsekvensbedömning kan följa av
- de behandlingssituationer som specificerats i dataskyddsförordningen
- ett tillägg av en behandlingsåtgärd i dataskyddsmyndighetens förteckning
- den nationella lagstiftningen
Konsekvensbedömning med anledning de behandlingssituationer som specificerats i dataskyddsförordningen
En konsekvensbedömning ska göras då en planerad behandling sannolikt orsakar en hög risk för de enskildas rättigheter och friheter. En konsekvensbedömning ska göras i synnerhet då
- ny teknologi används i behandlingen av personuppgifter
- behandlingen i hög grad omfattar brottmålsdomar, förseelser eller särskilda kategorier av personuppgifter såsom hälsouppgifter, etniskt ursprung, politiska åsikter, religiös övertygelse eller sexuell läggning
- en enskild persons personliga egenskaper bedöms med automatisk behandling, systematiskt och på omfattande sätt, och bedömningen leder till beslut, som kan ha rättsverkningar eller som i övrigt har betydande konsekvenser för personen
- ett område som är öppet för allmänheten övervakas systematiskt och på omfattande sätt.
Dataskyddsgruppen har utarbetat en anvisning, där den ger mer detaljerade och praktisk orienterade exempel på de situationer där en konsekvensbedömning ska göras. Enligt anvisningen ska en konsekvensbedömning avseende dataskyddet i allmänhet också göras då två av följande kriterier uppfylls vad gäller behandlingen av personuppgifter. Ju fler kriterier behandlingen uppfyller, desto sannolikare är det att den orsakar en hög risk för de registrerades rättigheter och friheter.
Läs mer om anvisningen om konsekvensbedömningen (pdf)
Kriterier för att bedöma en hög risk
Bedömning eller poängsättning av den registrerades arbetsprestation, ekonomiska ställning, hälsa, personliga preferenser, intressen, pålitlighet, beteende, position eller rörelse (inklusive profileringen och förutsägning).
Till exempel:
- Ett finansinstitut som bedömer sina kunder i ljuset av en referensdatabas som gäller kreditverksamhet, en databas som gäller penningtvätt och finansiering av terrorism eller en databas som gäller bedrägerier.
- Ett företag inom bioteknikområdet, som erbjuder gentester direkt till konsumenter för att kunna bedöma och förutsäga sjukdoms- eller hälsorisker.
- Ett företag som skapar beteende- eller marknadsföringsprofiler, som grundar sig på användningen av en webbplats eller rörelsen på en webbplats.
När beslut fattas automatiskt och besluten har rättsverkningar eller andra motsvarande betydande konsekvenser. Les mer om automatisk beslutfattande
Personuppgifter kan samlas in i förhållanden där de registrerade inte nödvändigtvis är medvetna om vem som samlar in uppgifter om dem och hur de kommer att användas. Därtill kan det vara omöjligt för enskilda personer att undvika att bli föremål för sådan uppgiftsbehandling i lokaler som är offentliga eller öppna för allmänheten. Kontroll kan avse till exempel passerkontroll, kameraövervakning eller motsvarande åtgärder.
Exempel:
- Behandling av uppgifter som används för observation, övervakning eller kontroll av de registrerade och insamling av uppgifter med nät.
- Systematisk omfattande övervakning av ett område som är öppet för allmänheten.
Denna kategori omfattar bland annat särskilda kategorier av personuppgifter och personuppgifter som gäller brott och förseelser. Detta kriterium kan omfatta också personliga handlingar, såsom e-post, dagböcker, talböcker med anteckningsfunktioner, anteckningar i en läsapparat och väldigt personliga uppgifter i lifeblogging-appar som är avsedda för att lagra det personliga livet.
Exempel:
- Ett allmänt sjukhus som administrerar patientfiler.
- En privatdetektiv som lagrar uppgifter om gärningsmän.
- Elektronisk kommunikation, vars konfidentiella karaktär borde skyddas.
- Positioneringsuppgifter, vars insamling ligger i gråzonen vad gäller rätten till fri rörlighet.
- Ekonomiska uppgifter som kan användas för betalningsmedelsbedrägeri.
- Insamling av uppgifter om misstänkt beteende hos en kund i en nätbutik.
I detta samband kan det också vara av betydelse om den registrerade själv eller en tredje part redan gjort uppgifterna allmänt tillgängliga. Det finns inte någon etablerad definition av termen ”allmänt tillgänglig”, utan bedömningen ska göras från fall till fall. Att personuppgifter är allmänt tillgängliga, kan anses vara väsentligt för bedömningen, om uppgifterna förväntats användas för specifika ändamål i fortsättningen.
Vid bedömningen av omfattningen rekommenderas det att bland annat beakta följande omständigheter:
- antalet registrerade parter, antingen som en exakt siffra eller som andel av en viss kategori, såsom av en stads eller stats befolkning
- mängden på de uppgifter som ska behandlas och/eller mängden på de separata informationsenheter som ska behandlas
- behandlingsåtgärdernas längd eller varaktighet
- behandlingsåtgärdernas geografiska dimension.
Samordnande eller sammanslagning av uppgiftshelheter på ett sätt som är oförutsägbart och oväntat för den registrerade.
Till exempel:
- En personuppgiftsansvarig slår samman uppgiftshelheter som har sitt ursprung i behandlingsåtgärder som vidtagits för två eller flera syften eller av olika personuppgiftsansvariga.
- Två olika aktörers kundregister slås samman vid företagsomstrukturering.
Den registrerade kan ha svårt att till exempel göra en invändning mot behandling av personuppgifter eller att utöva andra rättigheter, om han eller hon befinner sig i en svag ställning gentemot den personuppgiftsansvarige.
Med personer i svag ställning avses till exempel
- barn
- arbetstagare
- patienter
- äldre
- asylsökanden.
Användning av ny teknik kan omfatta nya former av insamling och användning av uppgifter, vilka eventuellt omfattar en hög risk som gäller personernas rättigheter och friheter. Till exempel vissa Sakernas Internet (IoT) -appar kan ha en betydande inverkan på enskilda personers vardag och integritet, och de förutsätter en konsekvensbedömning avseende dataskyddet.
Till exempel:
- Sammanslagning av fingeravtrycks- och ansiktsidentifiering för att förbättra passerkontrollen.
- Hindrande av de registrerades rättigheter, tjänster eller avtal.
- Målet med behandlingen av personuppgifter är att tillåta eller hindra de registrerades rätt att anlita en tjänst, ingå ett avtal eller ändra rättigheten i fråga.
Till exempel:
- En bank bedömer sina kunder i ljuset av en referensdatabas som anknyter till kreditverksamhet för att fatta ett beslut om en låneoffert.
Nationell lagstiftning
I den nationella lagstiftningen är det möjligt att förutsätta konsekvensbedömning inom ramen för det nationella svängrum som ges i allmänna dataförordningen.
Till exempel en förutsättning för att avvika från den registrerades rättigheter i vetenskapliga och historiska forskningsändamål som avses i 31 § i dataskyddslagen kan vara utförande av en konsekvensbedömning och inlämnande av den till dataombudsmannen.
I detta fall anknyter konsekvensbedömningen till en situation där registeransvarig behandlar särskilda personuppgifter eller personuppgifter relaterade till straffrättsliga domar och förbrytelser i historisk och vetenskaplig forskning samt statistik och vill avvika från vissa registrerades rättigheter.
Mer information: Undantag från den registrerades rättigheter i samband med vetenskaplig eller historisk forskning eller statistikföring
Anvisning om konsekvensbedömning avseende dataskydd
Dataombudsmannens byrå har publicerat en anvisning om konsekvensbedömning avseende dataskydd för att stödja personuppgiftsansvariga. Vid sidan av anvisningen har även ett enkelt Excel-registreringsverktyg tagits fram. Verktyget kan användas för att göra en konsekvensbedömning, om så önskas.
Anvisningen kan i tillämpliga delar också användas för en konsekvensbedömning i enlighet med dataskyddslagen för brottmål. Skillnaderna och likheterna tydliggörs i bilagan till anvisningen.
- Anvisning om konsekvensbedömning avseende dataskydd (pdf)
- Verktyg för konsekvensbedömning avseende dataskydd (bilaga I) (.xlsx-fil)
- Konsekvensbedömning avseende dataskydd enligt dataskyddslagen för brottmål (bilaga II) (pdf)