Artikel 29-gruppen publicerar ny vägledning om konsekvensbedömningar avseende dataskydd
Artikel 29-gruppens fjärde vägledning avseende dataskyddsförordningen handlar om när och hur konsekvensbedömningar avseende dataskydd enligt förordningens artikel 35 ska utföras. Enligt artikeln ska den personuppgiftsansvarige, innan behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter påbörjas, utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. I detta blogginlägg sammanfattar vi de viktigaste vägledande uttalandena om när konsekvensbedömningar ska utföras.
Artikel 29-gruppens vägledande uttalande om konsekvensbedömningar avseende dataskydd syftar främst till att klargöra innebörden av ”behandling som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter” och att ta fram kriterier för när en konsekvensbedömning avseende dataskydd måste utföras. Kriterierna är primärt tänkta att användas som stöd vid tillsynsmyndigheternas (däribland Datainspektionen) upprättande av förteckningar över behandlingsverksamheter som omfattas av kravet på konsekvensbedömning enligt artikel 35.4. Personuppgiftsansvariga företag och organisationer bör dock redan innan sådana förteckningar publicerats beakta kriterierna i sin verksamhet.
De övergripande kriterierna för hur och när en konsekvensbedömning ska göras framgår av dataskyddsförordningens artikel 35. Nedan listar vi övergripande några av de viktigaste uttalandena av allmän karaktär i vägledningen avseende när en konsekvensbedömning avseende dataskydd ska utföras:
- Att liknande teknik används för att samla in samma typ av uppgifter för samma ändamål kan innebära att endast en konsekvensbedömning behöver göras.
- När en viss behandling av personuppgifter involverar mer än en personuppgiftsansvarig måste respektive personuppgiftsansvarigs skyldigheter definieras noggrant.
- Vid osäkerhet kring om det finns en skyldighet att göra en konsekvensbedömning bör en sådan utföras.
- Exemplen på när konsekvensbedömningar ska utföras i artikel 35 är inte uttömmande.
- Artikel 29-gruppen rekommenderar starkt att konsekvensbedömningar avseende dataskydd utförs i förhållande till personuppgiftsbehandling som påbörjats redan innan dataskyddsförordningens ikraftträdande.
Enligt artikel 29 gruppen bör som tumregel två av följande kriterier av den personuppgiftsansvarige bedömas vara uppfyllda för att en konsekvensbedömning avseende dataskydd ska behöva utföras (d.v.s. det finns undantag från denna tumregel):
- Behandlingen innehåller element av bedömning eller värderingar (t.ex. automatiserade kreditbedömningar).
- Behandlingen syftar till att fatta automatiserade beslut med rättsliga följder eller liknande för den registrerade (t.ex. om behandlingen riskerar att leda till att vissa personer utesluts eller diskrimineras).
- Behandlingen innefattar systematisk övervakning, vilket anges vara särskilt viktigt eftersom de registrerade ofta inte känner till att vem som samlar in uppgifterna och hur de behandlas.
- Behandlingen omfattar känsliga personuppgifter (inbegriper även typer av personuppgifter som inte räknas upp i dataskyddsförordningens artikel 9.1 – t.ex. betaluppgifter som kan användas för att begå bedrägerier).
- Behandlingen innebär att personuppgifter behandlas i stor skala (med beaktande av antalet registrerade som berörs, volymen av uppgifter eller bredden av personuppgiftstyper, behandlingens varaktighet och den geografiska omfattningen av personuppgiftsbehandlingen).
- Behandlingen innefattar samkörning av uppgifter mellan olika register.
- Behandlingen omfattar personuppgifter om särskilt utsatta eller skyddsvärda typer av registrerade.
- Personuppgifterna behandlas på ett innovativt sätt (innefattande behandling med ny teknik) eller för att tillämpa tekniska eller organisatoriska lösningar (t.ex. vid kombinerande av fingeravtryck och ansiktsavläsning för fysisk behörighetskontroll).
- Personuppgifter ska föras över till ett land utanför EES.
- Personuppgiftsbehandlingen i sig förhindrar registrerade från att utöva en rättighet eller att använda en tjänst eller ett avtal.
Att göra en korrekt konsekvensbedömning avseende dataskydd när så krävs och att förhandssamråda med Datainspektionen innan behandling påbörjas när konsekvensbedömningen visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken är mycket viktiga åtgärder. Brister i dessa avseenden är sådana överträdelser av dataskyddsförordningen som potentiellt kan leda till administrativa böter på upp till 2 % av koncernens globala omsättning året innan överträdelsen.
Vi kommer att återkomma till Artikel 29-gruppens vägledning om hur en konsekvensbedömning avseende dataskydd ska utföras i ett separat blogginlägg.