GDPR: Datainspektionen förtydligar konsekvensbedömningar

I dagarna har Datainspektionen gått ut med förtydligad information runt artikel 35, dvs runt konsekvensbedömningar. När de skall göras och hur. 

Draftit har en skräddarsydd produkt för detta som heter Draftit Privacy DPIA. Vi på Britt Sweden har testat den tillsammans med kund och kör den även själva. I stora drag kan man säga att om ni har en behandling där minst två av nedan kriterier uppfylls, bör ni göra en konsekvensanalys.

  1. Utvärderar eller poängsätter människor, till exempel ett företag som erbjuder genetiska tester till konsumenter för att bedöma och förutse risker för sjukdomar, ett kreditupplysningsföretag eller ett företag som profilerar internetanvändare
  2. Behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den registrerade
  3. Systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer
  4. Behandlar känsliga personuppgifter enligt artikel 9 eller uppgifter som är av mycket personlig karaktär, till exempel ett sjukhus som lagrar patientjournaler, ett företag som samlar in lokaliseringsuppgifter eller en bank som hanterar finansiella uppgifter (Med känsliga uppgifter avses enligt artikel 9 bland annat biometriska uppgifter som behandlas för att entydigt identifiera en fysisk person.)
  5. Behandlar personuppgifter i stor omfattning
  6. Kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad de registrerade rimligen kunnat förvänta sig, till exempel när man samkör register
  7. Behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre och patienter
  8. Använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (Internet of things, IoT)
  9. Behandlar personuppgifter i syfte att hindra registrerade från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån.

Verkar det rörigt? Att utföra en konsekvensbedömning är obligatoriskt endast om behandlingen "sannolikt leder till en hög risk för fysiska personers rättigheter och friheter". En behandling kan uppfylla två eller flera av ovanstående kriterier men den personuppgiftsansvarige kan ändå göra bedömningen att den "sannolikt inte leder till en hög risk". I sådana situationer bör den personuppgiftsansvarige motivera och dokumentera anledningarna till att en konsekvensbedömning inte utförs och inkludera dataskyddsombudets synpunkter.

Vill ni ha hjälp runt konsekvensbedömningar eller en demo av programvaran vi jobbar med (Draftit Privacy Data Protection Impact Assassment), hör av er till oss eller boka en GDPR-fika så sätter vi upp en demo.

Här hittar du mer info hos Datainspektionen.

/Britt