GDPR
Ämnesområden
GDPR ÄMNESOMRÅDEN

Konsekvensbedömning (DPIA)

Vad är en konsekvensbedömning?

Vissa typer av personuppgiftsbehandling innebär fler risker än andra. Genom att vara medvetna om var riskerna finns i er verksamhet och anpassa era insatser utifrån det kan ni se till att lägga resurserna där de behövs som mest. På så sätt blir dataskyddsarbetet både effektivare och bättre.

En Data Processing Impact Assessment (DPIA) är en bedömning av risker och konsekvenser för den registrerade vid en viss personuppgiftsbehandling. Det är obligatoriskt att genomföra en DPIA om ni bedömer att en behandling kan medföra en hög risk för de registrerade. Bedömningen är ett sätt att identifiera, hantera och förebygga risker för individer på ett strukturerat sätt.

Vad ska en DPIA innehålla?

En DPIA skiljer sig från andra riskbedömningar på så sätt att en DPIA endast tar hänsyn till risker för individen. Varumärkesrisker, finansiella risker, produktionsbortfall och andra risker som normalt ingår i riskbedömningar ska alltså inte vägas in vid genomförandet av en DPIA, om de inte också medför risker för de registrerade.

En DPIA ska innehålla:

  • en beskrivning behandlingen och ändamålen med den
  • en bedömning av behovet av behandlingen och om den är proportionerlig mot ändamålen
  • en bedömning av riskerna för de registrerades rättigheter och friheter
  • vilka åtgärder som planeras för att hantera de identifierade riskerna

När ska en DPIA göras?

Skyldigheten att genomföra en DPIA kan aktualiseras:

  • när en ny personuppgiftsbehandling påbörjas
  • om risken med en pågående behandling ändras
  • för pågående behandlingar om en DPIA inte genomförts tidigare.

Det finns vissa typer av behandlingar som alltid kräver en DPIA. Det gäller vid beslut som fattas på grund av profilering, vid systematisk övervakning av en allmän plats, och vid omfattande behandling av känsliga uppgifter eller uppgifter om lagöverträdelser.

Tröskelanalys

För att avgöra om ni behöver göra en DPIA ska ni göra en förhandsbedömning, en så kallad tröskelanalys. Syftet är att ta reda på om det är sannolikt att behandlingen leder till en hög risk för individens rättigheter. I så fall behöver ni göra en fullständig DPIA. Ni behöver alltså ha processer och rutiner på plats för både tröskelanalyser och DPIA.

Samråd med IMY

I de fall en DPIA visar på höga risker för individer ska ni försöka minska riskerna genom olika åtgärder. Om ni har vidtagit sådana åtgärder men fortfarande tror att behandlingen kommer att leda till en hög risk ska ni kontakta Integritetsskyddsmyndigheten (IMY) för samråd innan ni genomför behandlingen.

Användbara dokument

EDPB (European data protection board) har tagit fram en användbar riktlinje som gäller konsekvensbedömningar.

Riktlinjer om KONSEKVENSBEDÖMNINGAR

Denna riktlinje är ett bra dokument för att lära sig mer om kraven på när en konsekvensbedömning ska utgöras, kraven och hur de ska dokumenteras.

Ladda ner

Don't be a stranger!

Chatta med oss
Chatta direkt med vår trevliga VD Jesper. Klicka på Jesper längst till höger i ditt webbläsarfönster.
Maila

info@evertrust.se

Slå en signal

+46702 16 35 75

Ställ din fråga här så återkommer vi så snart vi kan.

Vi hjälper ditt företag att anpassa och implementera nya regelverk i syfte att skapa effektiva processer, regelefterlevnad och påtagliga affärsfördelar. GDPR, dataskyddsförordning, regelverk och efterlevnad. Vi gör det hela mer lättbegripligt.

Tjänster
Trustview
Expertis
Address
Kungsgatan 8, 111 43 Stockholm
Chat
Kontakta oss via chatten
Telefon

+46 702 16 35 75

E-post

info (@) evertrust.se

Linkedin Instagram
Copyright © 2023 Evertrust Consulting