Konsekvensbedömning

Syftet med en konsekvensbedömning är att hjälpa att identifiera, bedöma och hantera de risker som är förknippade med behandlingen av personuppgifter.

Konsekvensbedömningen omfattar en beskrivning av behandlingen av personuppgifter, en bedömning av nödvändigheten av behandlingen, dess proportionalitet och de risker som orsakas av behandlingen av personuppgifter och nödvändiga åtgärder för att ingripa mot risker. Målet är att bedöma om den återstående risken är berättigad och godtagbar i rådande förhållanden. En konsekvensbedömning hjälper den personuppgiftsansvarige att iaktta kraven i dataskyddslagstiftningen och att dokumentera och bevisa efterlevnaden.

Den personuppgiftsansvarige ska begära råd av dataskyddsombudet vad gäller genomförandet av konsekvensbedömningen, om den personuppgiftsansvarige utnämnt ett dataskyddsombud.  Om ett personuppgiftsbiträde helt eller delvis behandlar personuppgifter, ska denna bidra till konsekvensbedömningen.

En konsekvensbedömning kan gälla en enskild behandlingsåtgärd eller en kategori av behandlingsåtgärder. En bedömning kan användas enbart i konsekvensbedömning av liknande behandlingsåtgärder. 

En konsekvensbedömning är avsedd att vara en oavbruten process för att identifiera och hantera risker. En konsekvensbedömning ska göras innan behandlingen inleds och den ska vid behov uppdateras. En uppdatering är nödvändig åtminstone då de risker som följer av behandlingsåtgärderna ändras. Ändringarna kan gälla behandlingens sammanhang, syftena, de personuppgifter som behandlas (vems eller vilka personuppgifter behandlas), mottagarna, sammanslagning av uppgifter, skyddsåtgärderna, överföring av uppgifter till områden utanför EU eller EES och idrifttagande av ny teknik.

Kraven på konsekvensbedömning tillämpas också på behandlingsåtgärder som påbörjats före 25.5.2018 och redan pågår. Den personuppgiftsansvarige ska alltså göra en konsekvensbedömning av pågående behandling då en sådan plikt skulle förekomma också i övrigt enligt dataskyddslagstiftningen.

När kräver behandling av personuppgifter konsekvensbedömning?

Skyldigheten att göra en konsekvensbedömning kan följa av

  • de behandlingssituationer som specificerats i dataskyddsförordningen
  • ett tillägg av en behandlingsåtgärd i dataskyddsmyndighetens förteckning
  • den nationella lagstiftningen 

Konsekvensbedömning med anledning de behandlingssituationer som specificerats i dataskyddsförordningen

En konsekvensbedömning ska göras åtminstone då en planerad behandling sannolikt orsakar en hög risk för de enskildas rättigheter och friheter. En konsekvensbedömning ska göras i synnerhet då

  • ny teknologi används i behandlingen av personuppgifter
  • behandlingen i hög grad omfattar brottmålsdomar, förseelser eller särskilda kategorier av personuppgifter såsom hälsouppgifter, etniskt ursprung, politiska åsikter, religiös övertygelse eller sexuell läggning
  • en enskild persons personliga egenskaper bedöms med automatisk behandling, systematiskt och på omfattande sätt, och bedömningen leder till beslut, som kan ha rättsverkningar eller som i övrigt har betydande konsekvenser för personen
  • ett område som är öppet för allmänheten övervakas systematiskt och på omfattande sätt.

Dataskyddsgruppens anvisning om konsekvensbedömningen

Dataskyddsgruppen har utarbetat en anvisning, där den ger mer detaljerade och praktisk orienterade exempel på de situationer där en konsekvensbedömning ska göras enligt dataskyddsförordningen.

Enligt anvisningen ska en konsekvensbedömning avseende dataskyddet i allmänhet också göras då två av följande kriterier uppfylls vad gäller behandlingen av personuppgifter.  Ju fler kriterier behandlingen uppfyller, desto sannolikare är det att den orsakar en hög risk för de registrerades rättigheter och friheter.

Kriterier för att bedöma en hög risk

Dataombudsmannens beslut om en förteckning över behandling av personuppgifter som omfattas av konsekvensbedömning

Uppdaterad 21.12.2018

Artikel 35.1 i dataskyddsförordningen förutsätter att konsekvensbedömning utförs om behandlingen leder till en hög risk för registrerades rättigheter och friheter.

Artikel 35.3 i dataskyddsförordningen innehåller en icke-uttömmande förteckning över behandlingsverksamheter som kräver konsekvensbedömning.

Enligt artikel 35.4 i dataskyddsförordningen ska dataskyddsmyndigheten upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning.

Förteckningens karaktär

Denna förteckning är inte uttömmande.

Hänvisning till anvisningarna

Denna förteckning kompletterar artikel 35.1 i dataskyddsförordningen. Denna förteckning har upprättats utifrån utlåtande 248 av Dataskyddsgrupp 29 (Anvisningar om konsekvensbedömning av dataskydd och metoderna för att utreda om ”behandlingen sannolikt är förknippad" med en i förordningen (EU) 2016/679 avsedd "hög risk"), och den kompletterar och preciserar detta utlåtande.

Dataombudsmannens byrå anser att en konsekvensbedömning ska upprättas i samband med följande behandlingar:

Biometriska uppgifter

Utan att begränsa tillämpningen av artikel 35.3 i dataskyddsförordningen, ska en konsekvensbedömning göras då biometriska uppgifter behandlas för entydig identifiering och därtill då ett av följande kriterier är uppfyllda:

  • biometriska uppgifter behandlas för att bedöma eller poängsätta en person
  • biometriska uppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
  • biometriska uppgifter behandlas i samband med systematisk övervakning
  • biometriska uppgifter behandlas i stor omfattning
  • biometriska uppgifter samordnas eller slås samman till datahelheter
  • de biometriska uppgifter som behandlas gäller sårbara registrerade
  • i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
  • behandlingen av biometriska uppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst

Genetiska uppgifter

Utan att begränsa tillämpningen av artikel 35.3 i dataskyddsförordningen, ska en konsekvensbedömning göras då genetiska uppgifter behandlas och därtill då ett av följande kriterier är uppfyllda:

  • genetiska uppgifter behandlas för att bedöma eller poängsätta en person
  • genetiska uppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
  • genetiska uppgifter behandlas i samband med systematisk övervakning
  • genetiska uppgifter behandlas i stor omfattning
  • genetiska uppgifter samordnas eller slås samman till datahelheter
  • genetiska uppgifter som gäller sårbara registrerade behandlas
  • i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
  • behandlingen av genetiska uppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst

Lokaliseringsuppgifter

När lokaliseringsuppgifter behandlas och minst ett av följande kriterier är uppfyllda

  • lokaliseringsuppgifter behandlas för att bedöma eller poängsätta en person
  • lokaliseringsuppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
  • lokaliseringsuppgifter behandlas i samband med systematisk övervakning
  • lokaliseringsuppgifterna avslöjar känsliga uppgifter eller uppgifter av väldigt personlig karaktär
  • lokaliseringsuppgifter behandlas i stor omfattning
  • lokaliseringsuppgifter samordnas eller slås samman till datahelheter
  • lokaliseringsuppgifter som gäller sårbara registrerade behandlas
  • i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
  • behandlingen av lokaliseringsuppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst

Undantag från information till en registrerad med stöd av artikel 14.5 i dataskyddsförordningen

Då den personuppgiftsansvarige med stöd av artikel 14.5 b i dataskyddsförordningen avviker från kravet på att ge den registrerade information och därtill då åtminstone ett av följande kriterier uppfylls

  • personuppgifter behandlas för att bedöma eller poängsätta en person
  • personuppgifter behandlas i automatiskt beslutsfattande, med rättsverkningar eller motsvarade betydande konsekvenser
  • personuppgifter behandlas i samband med systematisk övervakning
  • personuppgifter behandlas i stor omfattning
  • personuppgifter samordnas eller slås samman till datahelheter
  • personuppgifter som gäller sårbara registrerade behandlas
  • personuppgifter behandlas i samband med användning eller tillämpning av nya tekniska och organisatoriska lösningar
  • behandlingen av personuppgifter hindrar de registrerade från att utöva en rättighet eller att använda en tjänst

Whistleblowing

Genom angivningssystem kan en personalmedlem eller annan part anonymt anmäla oetisk verksamhet som strider mot en organisations värderingar eller interna förseelser. Syftet med angivningssystemet kan till exempel vara att säkerställa att principerna för besluts- och övervakningssystem iakttas på ändamålsenligt sätt i organisationens dagliga förvaltning.