Konsekvensbedömningar av dataskydd

Av artikel 35.1 i dataskyddsförordningen (GDPR) följer att den personuppgiftsansvarige ska utföra en dataskyddskonsekvensbedömning om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (konsekvensbedömning). Syftet med en konsekvensbedömning är att förebygga risker för registrerades personliga integritet innan de uppkommer.

Det är den personuppgiftsansvarige som ansvarar för att genomföra en konsekvensbedömning. Personuppgiftsansvarig är en juridisk eller fysisk person som ensam eller tillsammans med andra bestämmer ändamålen med eller medlen för en viss behandling av personuppgifter.

En dataskyddskonsekvensbedömning går längre än en riskanalys på så sätt att den, förutom en riskanalys också ska beakta åtgärder för att reducera eller eliminera risker samt en sammantagen bedömning om huruvida hög risk för enskildas fri- och rättigheter vid personuppgiftsbehandling kvarstår. Kvarstår en hög risk, trots tekniska och organisatoriska kompensatoriska åtgärder, kan den personuppgiftsansvarig välja att begära förhandssamråd hos Integritetsskyddsmyndigheten eller avstå från behandlingen.

Ytterligare information om dataskyddsförordningen finns hos Integritetsskyddsmyndigheten:

Det här gäller enligt dataskyddsförordningen, IMY

Det finns fyra grundläggande krav i GDPR på vad en konsekvensbedömning ska innehålla:

1. En systematisk beskrivning av den planerade behandlingen och behandlingens syfte.
2. En bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syftet med den.
3. En bedömning av riskerna för de registrerades rättigheter och friheter.
4. De åtgärder som planeras för att hantera riskerna och för att visa att GDPR efterlevs.

Därutöver bör en sammantagen bedömning redovisas i konsekvensbedömningen, bland annat om hög risk för enskildas fri och rättigheter kvarstår eller inte efter att kompensatoriska åtgärder planeras.

Dessutom ska man dokumentera att man rådgjort med dataskyddsombudet (om sådan finns) och inhämtat synpunkter från de registrerade eller deras företrädare när det är lämpligt.

Målet med en konsekvensbedömning avseende dataskydd är att minimera risker för den registrerades rättigheter och friheter (art. 35,7 c GDPR). För att möjliggöra detta ska en riskbedömning göras där man hanterar risker för kränkningar av den registrerades rättigheter och friheter i samband med konsekvensbedömningen, det vill säga risker som kan resultera i negativa konsekvenser för enskilda individer. Konsekvenserna kan vara av materiell, fysisk eller psykisk karaktär.

Endast risker för den registrerade ska vara i fokus under riskbedömningsdelen av konsekvensbedömningen. Det är alltså bara är den registrerades perspektiv som är av relevans i en konsekvensbedömning.

Risker ur ett bredare perspektiv, som risker för kommunen som organisation, hanteras i stället i en riskbedömning avseende informationssäkerhet. Mer information om riskbedömningar avseende informationssäkerhet finns i kommunens ledningssystem för informationssäkerhet – kontakta informationssäkerhetsansvarig eller motsvarande motsvarande.

Riskbedömningsdelen av en konsekvensbedömning

Riskbedömningsdelen av en konsekvensbedömning ska innehålla:

• Riskens ursprung (orsak/sårbarhet) (skäl 90 GDPR).
• Identifiering av hot som kan leda till obehörig åtkomst, oönskad ändring och förlust av personuppgifter (personuppgiftsincidenter).
• Identifiering av möjliga konsekvenser för den registrerades rättigheter och friheter vid händelser, däribland obehörig åtkomst, oönskad ändring och förlust av uppgifter.
• Uppskattning av sannolikhetsgrad och konsekvensgrad (värdering av risker) (skäl 90 GDPR).
• Fastställande av planerade åtgärder för att minska eller eliminera dessa risker (artikel 35.7 d GDPR och skäl 90 GDPR)

Riskbedömningsdelen av en konsekvensbedömning kan av praktiska skäl genomföras samtidigt som en riskbedömning avseende informationssäkerhet görs. Dokumentationen görs i kommunens eget riskhanteringsverktyg. Det är dock viktigt att värdera och dokumentera de risker som tillhör konsekvensbedömningen separat. Detta för att konsekvensbedömningsriskerna endast ska bestå av risker för den registrerade och inte kommunen som organisation.

Komplett konsekvensbedömning

En komplett komplett konsekvensbedömning består av två delar: en fullständigt ifylld mall för konsekvensbedömning och tillhörande riskhanteringsdokument.

Franska dataskyddsmyndigheten CNIL:s vägledning för stöd i riskbedömningen (PDF)

Det inte obligatoriskt att utföra en konsekvensbedömning för varje behandling av personuppgifter, till exempel om det redan har gjorts en konsekvensbedömning för en behandling som är mycket lik den planerade behandlingen kan resultatet från den tidigare konsekvensbedömningen i stället användas.

Av GDPR framgår att en konsekvensbedömning krävs om en viss typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (artikel 35.1 och skäl 84 GDPR).

En konsekvensbedömning krävs enligt GDPR särskilt i följande fall:

1. Vid en systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripen profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.
2. Vid en behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1 (ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.), eller av personuppgifter som rör fällande domar i brottmål och överträdelser.
3. Systematisk övervakning av en allmän plats i stor omfattning.

Förteckning över behandlingar som kräver en konsekvensbedömning

Enligt artikel 35.4 GDPR ska respektive nationell tillsynsmyndighet upprätta och offentliggöra en förteckning över behandlingar som kräver en konsekvensbedömning. Integritetsskyddsmyndigheten har med ledning av riktlinjer från Europeiska dataskyddsstyrelsen, EDPB, publicerat en förteckning över när en konsekvensbedömning ska göras och som kompletterar GDPR:s krav.

Förteckningen är dock inte uttömmande och kan komma att uppdateras och kompletteras med fler exempel framöver. Förteckningen gäller oavsett om det är fråga om personuppgiftsbehandling enbart i Sverige eller behandling av personuppgifter som är att anse som gränsöverskridande enligt definitionen i GDPR, artikel 4.23.

Förteckning över när konsekvensbedömning behöver göras, IMY

I följande fall behövs ingen konsekvensbedömning:

• Om det redan har gjorts en konsekvensbedömning för en behandling som är mycket lik den planerade behandlingen. Resultatet från den tidigare konsekvensbedömningen kan användas.
• Om den planerade personuppgiftsbehandlingen inte sannolikt leder till en hög risk för enskildas fri- och rättigheter.
• Behandlingar som har kontrollerats av en tillsynsmyndighet eller ett dataskyddsombud i enlighet med artikel 20 i direktiv 95/46/EG (dataskyddsdirektivet, före GDPR:s ikraftträdande) och vars genomförande inte har ändrats sedan föregående kontroll.