Hoppa till innehåll på sidan

Uppgifter och ansvar under konsekvens­bedömningen

Flera olika kompetenser är involverade i konsekvensbedömningen. Vilka beror på organisationen och den interna arbetsfördelningen. De registrerade ska också få möjlighet att säga sitt. På vilket sätt de kan bidra med information beror på vilken typ av behandling ni planerar.

Vem gör vad?

Kompetenser som ofta är involverade i konsekvensbedömningen:

  • Den personuppgiftsansvariga ser till att jobbet blir gjort.
  • Dataskyddsombudet ger råd och övervakar.
  • Personuppgiftsbiträdet hjälper till och bidrar med information.
  • De registrerade lämnar synpunkter när det är lämpligt.


Vilka som i övrigt bör medverka beror på er organisationsstruktur och interna arbetsfördelning. Det kan vara till exempel

  • it-avdelningen
  • jurister 
  • externa experter inom juridik, säkerhet och teknik.

Den personuppgiftsansvariga ser till att konsekvensbedömningen genomförs. Ni kan utse vissa personer eller funktioner, såväl inom organisationen som externt, som ska arbeta med att ta fram konsekvensbedömningen. Den personuppgiftsansvariga bär dock alltid det yttersta ansvaret.

Om ni har utsett ett dataskyddsombud ska ni rådfråga det när konsekvensbedömningen utförs. Ni bör dokumentera de synpunkter som dataskyddsombudet lämnar, och de beslut som ni fattar. Dataskyddsombudet bör också fortlöpande övervaka genomförandet.

Om den planerade personuppgiftsbehandlingen helt eller delvis ska genomföras av ett personuppgiftsbiträde bör biträdet bistå er genom att lämna nödvändig information. Biträdet kan till exempel behöva informera om vilka tekniska säkerhetsåtgärder som finns inbyggda i deras system, och vilka personer som kan eller ska få åtkomst till uppgifterna.

Ni ska inhämta synpunkter från de registrerade eller deras företrädare när det är lämpligt. På vilket sätt synpunkterna ska inhämtas beror på den behandling som planeras.

I vissa situationer kan det vara lämpligt att genom enkäter eller andra undersökningar ta reda på hur de registrerade generellt uppfattar en viss behandling. I andra situationer är det mer lämpligt att begränsa sig till en viss kategori av registrerade, till exempel framtida kunder eller fackliga ombud på en berörd arbetsplats.

IMY har en informerande, rådgivande och kontrollerande roll, allt beroende på vilken del av processen den personuppgiftsvariga eller personuppgiftsbiträdet befinner sig i. Vi kommer vanligen in först vid ett förhandssamråd.

 

Senast uppdaterad: 09 september 2021
Sidans etiketter Dataskydd