Förteckning klargör när konsekvensbedömning måste göras

Publicerad: 18 januari 2019

I vissa fall då exempelvis företag eller myndigheter tänkt samla in och använda personuppgifter måste de först göra en konsekvensbedömning för att identifiera riskerna för de personer som kommer att registreras. Integritetsskyddsmyndigheten har nu tagit fram en förteckning över i vilka fall en sådan bedömning ska göras.

Integritetsskyddsmyndigheten har nu på sin webbplats publicerat en förteckning som beskriver när företag, myndigheter och andra organisationer måste göra en konsekvensbedömning innan de börjar att samla in och använda personuppgifter.

Enligt dataskyddsförordningen, GDPR, ska en konsekvensbedömning göras när det är sannolikt att det finns en hög risk med sättet som personuppgifterna ska hanteras. Den som bryter mot skyldigheten att göra en konsekvensbedömning riskerar att drabbas av en sanktionsavgift.

En konsekvensbedömning ska bland annat innehålla en inventering av riskerna för de personer vars uppgifter kommer att registreras och de åtgärder som planeras för att hantera riskerna.

- Konsekvensbedömningen ska normalt göras innan man börjar samla in personuppgifter. Det är den personuppgiftsansvarige, alltså företaget eller myndigheten, som måste avgöra om det krävs en konsekvensbedömning, förklarar Elisabeth Jilderyd som är jurist på Integritetsskyddsmyndigheten.

Förteckningen består av en lista på nio kriterier som ska ligga till grund för bedömningen av om en konsekvensbedömning måste göras. En sådan bedömning ska göras om minst två av kriterierna är uppfyllda. Förteckningen bygger på de riktlinjer som tagits fram av EU-ländernas dataskyddsmyndigheter gemensamt genom Artikel 29-gruppen.

Bland kriterierna:

Behandling av personuppgifter som innebär utvärdering eller poängsättning av människor
Behandling av känsliga personuppgifter eller uppgifter av mycket personlig karaktär
Behandling av personuppgifter på ett sätt som innebär systematisk övervakning av människor
Behandling som innebär användning av ny teknik eller nya organisatoriska lösningar

I förteckningen finns också ett flertal olika exempel på när minst två av dessa kriterier kan anses vara uppfyllda. Bland dessa exempel finns:

Arbetsgivare som systematiskt övervakar hur de anställda använder internet och e-post
Företag som använder kunders lokaliseringsuppgifter, via exempelvis en mobilapp, för att rikta marknadsföring till kunden
Parkeringsbolag som använder kamerabevakning som kan skilja ut registreringsnummer i syfte att debitera parkeringsavgifter

Här finns förteckningen

(Förteckningen är inte uttömmande och kan komma att uppdateras och kompletteras med fler exempel)

För mer information kontakta
Jurist Elisabeth Jilderyd, telefon 08-657 61 11
Pressekreterare Per Lövgren, telefon 070-736 10 80

Senast uppdaterad: 6 maj 2021

Dataskydd

Fler nyheter inom ämnet

Se fler nyheter

Fler nyheter inom ämnet

Se fler nyheter

Senast uppdaterad: 6 maj 2021

Dataskydd

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Om IMY

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Vi guidar dig

Ska du utföra ett ärende?

Söktips!

Förteckning klargör när konsekvensbedömning måste göras

Fler nyheter inom ämnet

Generativ AI är i fokus i vårens regulatoriska sandlåda

IMY ser över sin hantering av klagomål mot innehavare av utgivningsbevis

AI-förordningen kommer med nya uppdrag till IMY

IMY:s tillsynsplan för 2024

Fler nyheter inom ämnet

Generativ AI är i fokus i vårens regulatoriska sandlåda

IMY ser över sin hantering av klagomål mot innehavare av utgivningsbevis

AI-förordningen kommer med nya uppdrag till IMY

IMY:s tillsynsplan för 2024