– Konsekvensbedömningen ska normalt göras innan man börjar samla in personuppgifter. Det är den personuppgiftsansvarige, alltså företaget eller myndigheten, som måste avgöra om det krävs en konsekvensbedömning, säger Elisabeth Jilderyd, jurist på Datainspektionen.
Risk för sanktioner
Enligt dataskyddsförordningen (GDPR) ska en konsekvensbedömning göras i det fall det är ”sannolikt” att det finns en hög risk med sättet som personuppgifterna ska hanteras på.
Konsekvensbedömningen ska bland annat innehålla en inventering av riskerna för de personer vars uppgifter kommer att registreras och de åtgärder som planeras för att hantera riskerna.
Ett företag eller en myndighet som bryter mot skyldigheten att göra en konsekvensbedömning riskerar att drabbas av sanktionsavgift.
Förteckning med nio kriterier
Datainspektionens förteckning består av en lista på nio kriterier som ska ligga till grund för bedömningen om konsekvensbedömning.
Om minst två av kriterierna är uppfyllda ska en konsekvensbedömning upprättas.
Förteckningen är baserad på de riktlinjer som tagits fram av EU-ländernas dataskyddsmyndigheter genom den så kallade Artikel 29-gruppen.
Bland kriterierna återfinns behandling av personuppgifter som innebär utvärdering eller poängsättning av människor, behandling av känsliga personuppgifter, behandling som innebär systematisk övervakning av människor och användning som innebär ny teknik eller nya organisatoriska lösningar.
Exempel på situationer
I förteckningen finns även ett flertal olika exempel på när minst två av dessa kriterier kan anses vara uppfyllda.
Bland dessa exempel nämns när arbetsgivare systematiskt övervakar hur anställda använder internet och e-post, när företag använder kunders lokaliseringsuppgifter för att rikta marknadsföring till kunden, och när parkeringsbolag använder kamerabevakning för att skilja ut registreringsnummer i syfte att debitera parkeringsavgift.
Läs Datainspektionens förteckning här.
Gratis nyhetsbrev om rättsfall och juridik från Dagens Juridik – klicka här
