Konsekvensbedömning

Syftet med en konsekvensbedömning är att hjälpa att identifiera, bedöma och hantera de risker som är förknippade med behandlingen av personuppgifter.

Konsekvensbedömningen omfattar en beskrivning av behandlingen av personuppgifter, en bedömning av nödvändigheten av behandlingen, dess proportionalitet och de risker som orsakas av behandlingen av personuppgifter och nödvändiga åtgärder för att ingripa mot risker. Målet är att bedöma om den återstående risken är berättigad och godtagbar i rådande förhållanden. En konsekvensbedömning hjälper den personuppgiftsansvarige att iaktta kraven i dataskyddslagstiftningen och att dokumentera och bevisa efterlevnaden.

Den personuppgiftsansvarige ska begära råd av dataskyddsombudet vad gäller genomförandet av konsekvensbedömningen, om den personuppgiftsansvarige utnämnt ett dataskyddsombud.  Om ett personuppgiftsbiträde helt eller delvis behandlar personuppgifter, ska denna bidra till konsekvensbedömningen.

En konsekvensbedömning kan gälla en enskild behandlingsåtgärd eller en kategori av behandlingsåtgärder. En bedömning kan användas enbart i konsekvensbedömning av liknande behandlingsåtgärder. 

En konsekvensbedömning är avsedd att vara en oavbruten process för att identifiera och hantera risker. En konsekvensbedömning ska göras innan behandlingen inleds och den ska vid behov uppdateras. En uppdatering är nödvändig åtminstone då de risker som följer av behandlingsåtgärderna ändras. Ändringarna kan gälla behandlingens sammanhang, syftena, de personuppgifter som behandlas (vems eller vilka personuppgifter behandlas), mottagarna, sammanslagning av uppgifter, skyddsåtgärderna, överföring av uppgifter till områden utanför EU eller EES och idrifttagande av ny teknik.

Kraven på konsekvensbedömning tillämpas också på behandlingsåtgärder som påbörjats före 25.5.2018 och redan pågår. Den personuppgiftsansvarige ska alltså göra en konsekvensbedömning av pågående behandling då en sådan plikt skulle förekomma också i övrigt enligt dataskyddslagstiftningen.

När kräver behandling av personuppgifter konsekvensbedömning?

Skyldigheten att göra en konsekvensbedömning kan följa av

  • de behandlingssituationer som specificerats i dataskyddsförordningen
  • ett tillägg av en behandlingsåtgärd i dataskyddsmyndighetens förteckning
  • den nationella lagstiftningen 

Konsekvensbedömning med anledning de behandlingssituationer som specificerats i dataskyddsförordningen

En konsekvensbedömning ska göras åtminstone då en planerad behandling sannolikt orsakar en hög risk för de enskildas rättigheter och friheter. En konsekvensbedömning ska göras i synnerhet då

  • ny teknologi används i behandlingen av personuppgifter
  • behandlingen i hög grad omfattar brottmålsdomar, förseelser eller särskilda kategorier av personuppgifter såsom hälsouppgifter, etniskt ursprung, politiska åsikter, religiös övertygelse eller sexuell läggning
  • en enskild persons personliga egenskaper bedöms med automatisk behandling, systematiskt och på omfattande sätt, och bedömningen leder till beslut, som kan ha rättsverkningar eller som i övrigt har betydande konsekvenser för personen
  • ett område som är öppet för allmänheten övervakas systematiskt och på omfattande sätt.

Dataskyddsgruppens anvisning om konsekvensbedömningen

Dataskyddsgruppen har utarbetat en anvisning, där den ger mer detaljerade och praktisk orienterade exempel på de situationer där en konsekvensbedömning ska göras enligt dataskyddsförordningen.

Enligt anvisningen ska en konsekvensbedömning avseende dataskyddet i allmänhet också göras då två av följande kriterier uppfylls vad gäller behandlingen av personuppgifter.  Ju fler kriterier behandlingen uppfyller, desto sannolikare är det att den orsakar en hög risk för de registrerades rättigheter och friheter.

Kriterier för att bedöma en hög risk

Förteckningen av dataombudsmannens byrå över behandling av personuppgifter som omfattas av konsekvensbedömning

Enligt dataskyddsförordningen ska dataskyddsmyndigheten upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd (artikel 35.4 i dataskyddsförordningen). Dataombudsmannens byrå kommer att komplettera och uppdatera denna förteckning efter behov. Förteckningen lämnas även till Europeiska dataskyddsstyrelsen för kännedom.

Dataombudsmannens byrå anser att en konsekvensbedömning ska upprättas i samband med följande behandlingar.

1. Alltid när genetiska uppgifter behandlas

Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga. (Artikel 4.13 i dataskyddsförordningen).

2. När personuppgifter behandlas i samband med angivningssystem eller så kallade whistleblowing-system

Genom angivningssystem kan en personalmedlem eller annan part anonymt anmäla oetisk verksamhet som strider mot en organisations värderingar eller interna förseelser. Syftet med angivningssystemet kan till exempel vara att säkerställa att principerna för besluts- och övervakningssystem iakttas på ändamålsenligt sätt i organisationens dagliga förvaltning.

3. När den personuppgiftsansvarige avviker från att ge den registrerade information med stöd av artikel 14.5 b i dataskyddsförordningen

En konsekvensbedömning ska göras då den personuppgiftsansvarige samlar in personuppgifter från andra källor än av den registrerade och låter bli att ge information på så sätt som avses i artikel 14 i dataskyddsförordningen, på grund av att det

  • det visar sig vara omöjligt att lämna ut uppgifter (i synnerhet då uppgifter behandlas för arkiveringsändamål som är förenliga med ett allmänt intresse eller för vetenskapliga eller historiska forskningsändamål)
  • det visar sig att utlämnande av uppgifter skulle kräva orimligt besvär (i synnerhet då uppgifter behandlas för arkiveringsändamål som är förenliga med ett allmänt intresse eller för vetenskapliga eller historiska forskningsändamål)
  • då utlämnande av uppgifter som krävs för information sannolikt hindrar att ändamålen uppnås eller i hög grad försvårar detta.

Nationell lagstiftning

I den nationella lagstiftningen är det möjligt att förutsätta konsekvensbedömning inom ramen för det nationella svängrum som ges i EU:s allmänna dataförordning.