Så här gör man en konsekvens­bedömning

Gör konsekvensbedömningen innan ni inleder personuppgiftsbehandlingen. Påbörja konsekvensbedömningen så tidigt som möjligt och låt den vara en del av utvecklingsprocessen.

Ibland krävs att ni gör en konsekvensbedömning även för befintliga behandlingar. Riskerna kanske har ökat, till exempel för att ni samlar in fler uppgifter än tidigare eller för att ni inför nya tekniska lösningar. Eller så har ni inte gjort någon konsekvensbedömning tidigare eftersom behandlingen påbörjades innan dataskyddsförordningen gällde.

För att kunna bedöma riskerna för enskildas friheter och rättigheter måste ni ta ett helhetsgrepp om situationen och titta på många olika faktorer i personuppgiftsbehandlingen.

Fyra grundläggande krav på vad en konsekvensbedömning ska innehålla:

1. En systematisk beskrivning av den planerade behandlingen och behandlingens syfte.
2. En bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syftet med den.
3. En bedömning av riskerna för de registrerades rättigheter och friheter.
4. De åtgärder som ni planerar för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs.

Ni måste dessutom:

• Redogöra med ert dataskyddsombud, om er organisation har ett.
• Inhämta synpunkter från de registrerade eller deras företrädare när det är lämpligt.

En enda konsekvensbedömning kan användas för att bedöma flera behandlingar som liknar varandra vad gäller art, omfattning, innehåll, ändamål och risker.

Exempel:

• En organisation vill införa en personuppgiftsbehandling som liknar en annan personuppgiftsbehandling där det redan finns en konsekvensbedömning. Då kan de använda den första bedömningen som referens i sin nya konsekvensbedömning.
• Ett antal matvarubutiker ska var och en införa liknande övervakningssystem på likartade platser. De kan göra en enda konsekvensbedömning.

Obs! Den som gör en gemensam konsekvensbedömning för flera personuppgiftsbehandlingar ska motivera varför en enda konsekvensbedömning har utförts.

Överväg i första hand om behandlingen är nödvändig och proportionerlig i förhållande till syftet. Kanske kan ni uppnå syftet med behandlingen på ett annat sätt så att riskerna inte uppstår.

Exempel på åtgärder som ni kan använda för att hantera risker är

• autentisering
• kryptering
• rutiner och tydlig information om säkerhet till systemets användare
• logg över vem som använder personuppgifter
• stöd för säkerhetskopiering
• pseudonymisering av personuppgifter
• öppen redovisning av personuppgifternas syfte och behandling
• möjlighet för den registrerade att övervaka uppgiftsbehandlingen
• minska antalet personer som har tillgång till uppgifterna
• begränsa sökbegreppen så att det inte går att söka på känsliga personuppgifter
• införa automatisk borttagning av personuppgifter som inte längre ska behandlas
• utforma it-systemen så att inte fler personuppgifter än nödvändigt behandlas, det vill säga inbyggt dataskydd och dataskydd som standard.

Motivera och dokumentera de val ni gör, till exempel om ni bedömer att det inte är lämpligt att inhämta eller följa synpunkter från de registrerade.

För att se till att ni redan från början tar hänsyn till skyddet för personuppgifter i era arbetsprocesser bör ni införliva konsekvensbedömningen i ert arbetssätt. Ni kan till exempel ha med konsekvensbedömningar i er arbetsordning eller i era projektplaner.

Även om det inte är ett krav bör ni överväga att publicera hela, eller åtminstone delar av, konsekvensbedömningen. En sådan publicering kan bland annat hjälpa er att uppfylla dataskyddsförordningens principer om öppenhet och ansvarsskyldighet.

Publicering kan vara särskilt bra när behandlingen rör allmänheten, till exempel vid övervakning på allmän plats. Publiceringen kan bestå av en sammanfattning av konsekvensbedömningens huvudsakliga innehåll. Ni behöver förstås inte röja affärshemligheter eller annan känslig information.

Ompröva bedömningen av riskerna flera gånger under utvecklingsprocessen, särskilt när behandlingen förändras på ett sätt som kan påverka risken, till exempel för att ni samlar in fler uppgifter än tidigare eller inför nya tekniska lösningar.

Även efter att en behandling har påbörjats kan ni behöva gå tillbaka till den ursprungliga konsekvensbedömningen och ompröva bedömningen av risken.