Gå till innehållet

Kriterier för en godtagbar konsekvens­bedömning

Artikel 29-arbetsgruppen för skydd av personuppgifter har tagit fram riktlinjer om konsekvensbedömningar avseende dataskydd. Denna checklista är hämtad från riktlinjen.

Arbetsgruppen föreslår följande kriterier som kan användas av personuppgiftsansvariga för att bedöma huruvida en konsekvensbedömning, eller en metod för att utföra en konsekvensbedömning, är tillräckligt omfattande för att iaktta förordningen:

En systematisk beskrivning av behandlingen tillhandahålls (artikel 35.7 a)

  • Behandlingens art, omfattning, sammanhang och ändamål beaktas (skäl 90).
  • Registrering av personuppgifter, mottagare och den period under vilken personuppgifterna kommer att lagras.
  • En funktionell beskrivning av behandlingen tillhandahålls.
  • De tillgångar som är nödvändiga för personuppgifterna (maskinvara, programvara, nätverk, personer, papper eller spridningskanaler för papper) är identifierade.
  • Efterlevnad av godkända uppförandekoder beaktas (artikel 35.8).

En bedömning av behovet av och proportionaliteten hos behandlingen (artikel 35.7 b)

  • De planerade åtgärderna för att visa att förordningen efterlevs har fastställts (artikel 35.7 d och skäl 90), med beaktande av följande:
    • Åtgärder som bidrar till att behandlingen är proportionell och nödvändig på grundval av
      • särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b),
      • laglig behandling (artikel 6),
      • adekvata, relevanta och inte för omfattande uppgifter (artikel 5.1 c),
      • begränsad lagringstid (artikel 5.1 e).
    • Åtgärder som stärker de registrerades rättigheter:
      • Information till den registrerade (artiklarna 12, 13 och 14).
      • Rätt till tillgång och till dataportabilitet (artiklarna 15 och 20).
      • Rätt till rättelse och radering (artiklarna 16, 17 och 19).
      • Rätt att göra invändningar och till begränsning av behandling (artiklarna 18, 19 och 21).
      • Förhållandet till personuppgiftsbiträden (artikel 28).
      • Skyddsåtgärder för internationella överföringar (kapitel V).
      • Förhandssamråd (artikel 36).

Hantering av risker för de registrerades rättigheter och friheter (artikel 35.7 c)

  • Uppskattning av riskens ursprung, art, särdrag och allvar (se skäl 84) eller, mer specifikt, för varje risk (obehörig åtkomst, oönskad ändring och att uppgifter försvinner) ur de registrerades perspektiv:
    • Beaktande av riskens ursprung (skäl 90).
    • Identifiering av möjliga konsekvenser för de registrerades rättigheter och friheter vid händelser, däribland obehörig åtkomst, oönskad ändring och förlust av uppgifter.
    • Identifiering av hot som kan leda till obehörig åtkomst, oönskad ändring och förlust av uppgifter.
    • Uppskattning av sannolikhetsgrad och allvar (skäl 90).
  • Fastställande av planerade åtgärder för att hantera dessa risker (artikel 35.7 d och skäl 90).

Medverkan från berörda parter

  • Rådfrågan av dataskyddsombudet (artikel 35.2).
  • När så är lämpligt, inhämtning av synpunkter från de registrerade eller deras företrädare (artikel 35.9).
Senast uppdaterad: 19 maj 2021
Sidans etiketter Dataskydd