Måste en konsekvensbedömning alltid dokumenteras?
Ja. Enligt principen om ansvarsskyldighet ska den personuppgiftsansvariga kunna visa att GDPR efterlevs. Det innebär att konsekvensbedömningen ska dokumenteras på ett godtagbart sätt.
Dokumentationen bör utföras på ett sätt som möjliggör för tillsynsmyndigheten att kontrollera att minimikraven (se artiklarna 35.2, 35.7 a−d, 35.9 och 35.11 i GDPR) har uppfyllts, och att övriga bestämmelser som är aktuella inom ramen för den enskilda konsekvensbedömningen följs.
Det finns dock inga bestämda krav på hur detaljerad dokumentationen ska vara. Dokumentationen måste anpassas utifrån aktuella omständigheter, exempelvis den planerade behandlingen, organisationens resurser och befintliga processer.
Senast uppdaterad: 14 februari 2025