Hoppa till sidans innehåll

När krävs en konsekvensbedömning?

Det inte obligatoriskt att utföra en konsekvensbedömning för varje behandling av personuppgifter, till exempel om det redan har gjorts en konsekvensbedömning för en behandling som är mycket lik den planerade behandlingen kan resultatet från den tidigare konsekvensbedömningen i stället användas.

Av GDPR framgår att en konsekvensbedömning krävs om en viss typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35.1 och skäl 84 GDPR).

En konsekvensbedömning krävs enligt GDPR särskilt i följande fall:

  1. Vid en systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripen profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.
  2. Vid en behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1 (ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.), eller av personuppgifter som rör fällande domar i brottmål och överträdelser.
  3. Systematisk övervakning av en allmän plats i stor omfattning.

Förteckning över behandlingar som kräver en konsekvensbedömning

Enligt artikel 35.4 GDPR ska respektive nationell tillsynsmyndighet upprätta och offentliggöra en förteckning över behandlingar som kräver en konsekvensbedömning. Integritetsskyddsmyndigheten har med ledning av riktlinjer från Europeiska dataskyddsstyrelsen (EDPB) publicerat en förteckning över när en konsekvensbedömning ska göras och som kompletterar GDPR:s krav.

Förteckningen är dock inte uttömmande och kan komma att uppdateras och kompletteras med fler exempel framöver. Förteckningen gäller oavsett om det är fråga om personuppgiftsbehandling enbart i Sverige eller behandling av personuppgifter som är att anse som gränsöverskridande enligt definitionen i GDPR, artikel 4.23.

Förteckning över när konsekvensbedömning behöver göras, IMY Länk till annan webbplats.

Publiceringsinformation

Meny

Resurser och hjälpmedel

  1. Allmänna bestämmelser
  2. Cirkulär
  3. Evenemangskalender
  4. Handlingar och beslut från SKR
  5. Kollektivavtal
  6. Lärande exempel
  7. Pressrum
  8. Rapporter och publikationer
  9. SKR:s öppna data
  10. Statistik och analys
  11. Taxor
  12. Webbutbildningar

Områden

  1. Arbetsgivarrollen
  2. Arbetsmarknad
  3. Barnets rättigheter
  4. Barn och unga i socialtjänsten
  5. Byggande och bostäder, planering
  6. Civilt försvar och krisberedskap

Webbplatser

  1. 1177
  2. Adda
  3. Equalis