Tech Blog
Tech Blog | februari 25, 2025

Integritetsskyddsmyndigheten (IMY) publicerar ny vägledning om konsekvensbedömning

IMY publicerade under förra veckan en ny vägledning om konsekvensbedömning. Denna vägledning riktar sig till verksamheter som behandlar personuppgifter och som har en skyldighet att följa dataskyddsförordningen (GDPR), samt som en del av sitt arbete ska genomföra konsekvensbedömningar. Som bilaga till vägledningen publicerades ett rättsligt tolkningsstöd. Detta klargör bland annat kring ansvar för konsekvensbedömningar, metod- och dokumentationskrav samt dataskyddsombudets roll. Det rättsliga tolkningsstödet ger även vägledning om när och hur en konsekvensbedömning ska genomföras. Därtill publicerade IMY mallar som kan användas som stöd i arbetet.

Vägledningen utgår från de kriterier som Europeiska dataskyddsstyrelsen (EDPB) har uppställt i bilaga 2 till dess riktlinjer om konsekvensbedömning. Dessa kriterier utvecklar de skyldigheter som framgår i artikel 35 GDPR gällande konsekvensbedömning avseende dataskydd. IMY beskriver vägledningen som en grund att utgå från och har uppställt tio steg som förslag på hur konsekvensbedömningar kan genomföras. Stegen anges enligt följande:

  1. Bedöm behovet
  2. Planera arbetet
  3. Beskriv behandlingen
  4. Genomför en rättslig analys
  5. Genomför riskhantering
  6. Begär ev. förhandssamråd
  7. Hämta in synpunkter
  8. Gör en sammantagen bedömning
  9. Förankra bedömningen
  10. Följ upp kontinuerligt.

GDPR ställer krav på att den personuppgiftsansvarige ska utgå från ett riskbaserat arbetssätt. Syftet med konsekvensbedömningar är att, innan skada har uppstått, förebygga risker och säkerställa skydd för människors fri- och rättigheter i samband med behandling av personuppgifter. Det är de registrerades rättigheter som åsyftas. Enligt artikel 35 GDPR ska en konsekvensbedömning alltid genomföras innan behandlingen påbörjas om typen av behandling sannolikt leder till en hög risk för fysiska personers rättigheter eller friheter. Det är således i vissa fall obligatoriskt att utföra en sådan bedömning, men även om det inte är obligatoriskt i ett särskilt fall kan det vara ett användbart verktyg för riskreducering. Omfattningen av konsekvensbedömningen varierar beroende på organisation och aktuell behandling.

Har du funderingar om konsekvensbedömningar eller andra GDPR-frågor? Tveka inte att kontakta oss på Delphi!

Denna artikel är skriven av Associate Klara Thyrén

Föregående inlägg

Relaterat innehåll