”Konsekvensbedömningar enligt GDPR bör göras även för äldre behandlingar”

KOMMENTAR – av advokaterna Anna Eidvall och Karin Schurmann, Kompass advokat

Med dataskyddsförordningen (GDPR) har kravet på att utföra konsekvensbedömningar utvidgats till att omfatta fler typer av behandlingar än vad som gällt tidigare. Enligt Datainspektionen är utgångspunkten att alla behandlingar som sannolikt leder till en hög risk för de registrerade ska bedömas. Detta ger upphov till frågor om hur behandlingar som pågick innan GDPR började tillämpas (så kallade befintliga behandlingar) ska hanteras.

Vad gäller för befintliga behandlingar?

Enligt GDPR ska företag och andra personuppgiftsansvariga genomföra en konsekvensbedömning före särskilt riskfyllda behandlingar påbörjas. Det kan också vara nödvändigt att genomföra en konsekvensbedömning på en befintlig behandling, till exempel om risken med behandlingen ändras.

Vår erfarenhet är att många företag utgått från att kravet på konsekvensbedömning bara gäller för behandlingar som påbörjats eller förändrats efter GDPR. Denna linje kan förklaras av att den aktuella bestämmelsen i GDPR talar om att en bedömning ska ske före planerade behandlingar, vilket kan tolkas som att kravet bara gäller för nya behandlingar.

Eftersom GDPR är tämligen tyst kring tolkningen av bestämmelsen kan det även ifrågasättas om bestämmelsen ska ges retroaktiv verkan på befintliga behandlingar.

Av den Europeiska dataskyddsstyrelsens (EDPB) vägledning kring konsekvensbedömningar (WP248 rev.01) framgår att kravet på att utföra konsekvensbedömning bör omfatta befintliga behandlingar ”som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter och där riskerna ändrats, med beaktande av behandlingens art, omfattning, sammanhang och ändamål” (vårt tillägg i fet stil).

Vägledningen har av de flesta tolkats i enlighet med föregående stycke, vilket betyder att befintliga behandlingar bör bli föremål för konsekvensbedömning bara i undantagsfall.

Datainspektionen menar nu att en tolkning i motsatt riktning är möjlig; befintliga behandlingar omfattas av kravet med bara ett undantag, nämligen om behandlingen tidigare kontrollerats enligt det gamla dataskyddsdirektivet och behandlingen eller risken med behandlingen inte förändrats sedan dess.

Datainspektionen verkar göra en sådan bedömning och anser att kravet på konsekvensbedömning inte begränsas till nya behandlingar, utan gäller samtliga behandlingar av personuppgifter som kan innebära en hög risk för de registrerade.

Att en behandling påbörjades innan GDPR började tillämpas innebär enligt Datainspektionen därför inte ett ”frikort” från kravet på konsekvensbedömning, en bedömning som kan ses som en del av den i GDPR uttalade utgångspunkten att samtliga behandlingar som pågick den dag GRPR började tillämpas ska bringas i överensstämmelse med bestämmelserna i GDPR. 

Det finns alltså argument både för och emot en tolkning som innebär en retroaktiv tillämpning av kravet på konsekvensbedömning på en befintlig behandling. Vi ställer oss dock frågan hur länge denna diskussion är relevant. EDPB anser att personuppgiftsansvariga, som god praxis, bör se över och omvärdera sina särskilt riskfyllda behandlingar kontinuerligt.

Även om en konsekvensbedömning inte krävdes innan, eller precis efter, den 25 maj 2018 kan det därför vara nödvändigt att vid lämplig tidpunkt utföra eller omvärdera en risk- och/eller konsekvensbedömning, som en del av den personuppgiftsansvariges allmänna ansvarsskyldighet. Även om hänvisningen till principen om ansvarsskyldighet lämnar utrymme för tolkning av när en skyldighet att genomföra en konsekvensbedömning faktiskt uppstår, är det troligt att den inträder förhållandevis snabbt – åtminstone för mycket riskfyllda behandlingar.

Det har nu gått mer än ett år sedan GDPR började tillämpas. Det bör därför inte dröja länge förrän det uppstår en skyldighet att utföra eller omvärdera en risk- och/eller konsekvensbedömning av samtliga behandlingar.

Det innebär att det snart inte kommer att ha någon betydelse om en behandling är befintlig eller ny, kravet på konsekvensbedömning gäller då för alla behandlingar.

Vad innebär detta i praktiken?

Eftersom många företag har gjort bedömningen att befintliga behandlingar inte omfattas av kravet på konsekvensbedömning kan dessa behöva gå tillbaka till skrivbordet och riskbedöma även sina befintliga behandlingar av personuppgifter. Om risken bedöms vara tillräckligt hög ska en konsekvensbedömning genomföras, dvs. även om en behandling har pågått sedan länge. Detsamma gäller för behandlingar som redan har genomgått någon form av bedömning, men där riskerna, eller omständigheterna kring behandlingen, förändrats.

Detta arbete kan bli både personal- och tidskrävande, för att inte tala om kostsamt. Bara att risk- och konsekvensbedöma nya eller förändrade behandlingar har varit en resurskrävande process och generellt uppfattats som svårt och omständligt. Att genomföra detsamma även på behandlingar som pågick innan GDPR började tillämpas kan uppfattas som en omöjlighet.

Vad är risken?

Att inte utföra en konsekvensbedömning när GDPR kräver det, om den utförs på fel sätt eller om man låter bli att samråda med Datainspektionen, kan det innebära ett brott mot GDPR vilket kan leda till sanktionsavgifter på det högre av två procent av koncernens globala årsomsättning och 10 miljoner Euro.

Bristande konsekvensbedömningar har dessutom redan uppmärksammats i Datainspektionens senaste tillsynspraxis. Detta var bland annat en bidragande orsak till Datainspektionens beslut om sanktionsavgift i det så kallade ansiktsigenkänningsfallet. Sanktionsavgiften blev där 200 000 kronor.

När riskfyllda behandlingar blivit föremål för tillsyn har Datainspektionen tillika närmast regelmässigt efterfrågat konsekvensbedömningar, exempelvis i Googlefallet.

Vad ska man göra nu?

I ljuset av Datainspektionens besked och den tillsynspraxis vi hittills har sett, samt med hänsyn till att det gått mer än ett år sedan GDPR började tillämpas, kan vi som advokater inte annat än att rekommendera företag och andra personuppgiftsansvariga att risk- och eventuellt konsekvensbedöma samtliga sina behandlingar av personuppgifter.

Vi förstår dock att många kommer att väga risken för sanktioner mot de merkostnader genomförandet av nya konsekvensbedömningar kan komma att medföra.

Ska man välja att sticka huvudet i sanden? De flesta väljer kanske en mellanväg där de mest affärs- och verksamhetskritiska behandlingarna riskbedöms i ett första skede och väntar med de mindre riskfyllda behandlingarna till ett senare skede.

Gratis nyhetsbrev om rättsfall och juridik från Dagens Juridik – klicka här