Förteckning klargör när konsekvensbedömning måste göras

18 januari, 2019

I vissa fall då exempelvis företag eller myndigheter tänkt samla in och använda personuppgifter måste de först göra en konsekvensbedömning för att identifiera riskerna för de personer som kommer att registreras. Datainspektionen har nu tagit fram en förteckning över i vilka fall en sådan bedömning ska göras.

 

Datainspektionen har nu publicerat en förteckning som beskriver när företag, myndigheter och andra organisationer måste göra en konsekvensbedömning innan de börjar att samla in och använda personuppgifter.

 

Enligt dataskyddsförordningen, GDPR, ska en konsekvensbedömning göras när det är sannolikt att det finns en hög risk med sättet som personuppgifterna ska hanteras. Den som bryter mot skyldigheten att göra en konsekvensbedömning riskerar att drabbas av en sanktionsavgift.

 

En konsekvensbedömning ska bland annat innehålla en inventering av riskerna för de personer vars uppgifter kommer att registreras och de åtgärder som planeras för att hantera riskerna.

 

Förteckningen består av en lista på nio kriterier som ska ligga till grund för bedömningen av om en konsekvensbedömning måste göras. En sådan bedömning ska göras om minst två av kriterierna är uppfyllda. Förteckningen bygger på de riktlinjer som tagits fram av EU-ländernas dataskyddsmyndigheter gemensamt genom Artikel 29-gruppen.

 

Bland kriterierna:
• Behandling av personuppgifter som innebär utvärdering eller poängsättning av människor
• Behandling av känsliga personuppgifter eller uppgifter av mycket personlig karaktär
• Behandling av personuppgifter på ett sätt som innebär systematisk övervakning av människor
• Behandling som innebär användning av ny teknik eller nya organisatoriska lösningar

 

I förteckningen finns också ett flertal olika exempel på när minst två av dessa kriterier kan anses vara uppfyllda. Bland dessa exempel finns:
• Arbetsgivare som systematiskt övervakar hur de anställda använder internet och e-post
• Företag som använder kunders lokaliseringsuppgifter, via exempelvis en mobilapp, för att rikta marknadsföring till kunden
• Parkeringsbolag som använder kamerabevakning som kan skilja ut registreringsnummer i syfte att debitera parkeringsavgifter

 

Här finner Ni förteckningen.

 

Informationen kommer Datainspektionen.

Vid frågor eller för mer information, kontakta Altea AB.