Konsekvensbedömningar enligt GDPR i fyra steg
Som alla känner till ställer GDPR krav på företag och organisationer som behandlar personuppgifter. Bland annat kräver GDPR att en så kallad konsekvensbedömning görs inför behandling av personuppgifter som kan leda till hög risk för de registrerade.
Delphi tipsar om hur man kan gå tillväga för att överväga och implementera konsekvensbedömningar i sitt GDPR-arbete.
1. Vad är en konsekvensbedömning?
En konsekvensbedömning enligt GDPR är ett analysverktyg som används för att identifiera risker, vidta lämpliga åtgärder samt upprätthålla en säker personuppgiftshantering.
I korthet består en konsekvensbedömning av följande steg:
- Beskrivning av den planerade behandlingen och dess syfte.
- Bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syftet.
- Bedömning av riskerna för de registrerades rättigheter och friheter.
- Beskrivning av de åtgärder som planeras för att hantera riskerna.
- Dokumentation.
- Övervakning och översyn.
Förhoppningsvis leder en korrekt hantering av konsekvensbedömningar till att företag och organisationer upptäcker, hanterar och minimerar risker i förväg – och inte först i efterhand!
2. När måste en konsekvensbedömning göras?
En konsekvensbedömning ska göras om personuppgifter behandlas på ett sätt som sannolikt leder till hög risk för de registrerades fri- och rättigheter. När är då det?
Datainspektionen har publicerat en förteckning över när en konsekvensbedömning måste göras, se här.
Till exempel kräver följande behandlingar att en konsekvensbedömning utförs.
- Inrättande av kandidat- eller kompetensdatabaser hos rekryteringsföretag.
- Användande av kunders lokaliseringsuppgifter i marknadsföringssyfte.
- Inhämtning av uppgifter från sociala medier i profilerings- och marknadsföringssyfte.
Datainspektionens bedömning är inte uttömmande, utan det är den personuppgiftsansvariges ansvar att se till att konsekvensbedömning görs om det behövs. I tveksamma fall bör en konsekvensbedömning göras. Det är inte fel att göra en konsekvensbedömning i ”onödan”. Kontakta gärna någon av oss om du vill diskutera.
3. Varför ska en konsekvensbedömning göras?
Naturligtvis ska konsekvensbedömning göras för att följa lagen och undvika de sanktioner och goodwillskada som felaktig behandling kan leda till, men även:
- För att få en bättre förståelse för personuppgiftsbehandlingens konsekvenser och risker och kunna välja lämpliga säkerhetsåtgärder och tekniska lösningar.
- För att visa Datainspektionen och/eller andra myndigheter att reglerna följs.
- För att visa för registrerade att deras personuppgifter behandlas på rätt sätt.
- För att visa allmänheten att företaget och organisationen – på riktigt – bryr sig om individers rättigheter och personliga integritet och vidtar åtgärder för att minska riskerna.
Resultatet av konsekvensbedömningen kan därför gärna publiceras, t.ex. på den personuppgiftsansvariges hemsida.
4. Hur gör man då?
En konsekvensbedömning är en pågående process som behöver omprövas och uppdateras kontinuerligt. Genom att börja tidigt och omprova löpande, blir det lättare att identifiera risker och vidta preventiva åtgärder i tid och undvika incidenter (vilka har uppmärksammats på senare tid).
Det finns hjälp att tillgå. Den tidigare Artikel 29-arbetsgruppen har publicerat riktlinjer angående konsekvensbedömningar, se här. Dessutom tillhandhåller den franska tillsynsmyndigheten ett gratis verktyg (PIA) för konsekvensbedömningar, som med fördel kan användas även av svenska aktörer. Verktyget finns på franska och engelska.