Behöver ditt företag göra en konsekvensbedömning?

Bakgrund
Den 25 maj 2018 börjar den nya dataskyddsförordningen (GDPR) att tillämpas, vilket innebär skärpta sanktioner och flera nya regler inom personuppgiftsområdet. En av nyheterna i GDPR är reglerna om konsekvensbedömningar. I en konsekvensbedömning gör företaget en riskanalys avseende viss personuppgiftsbehandling, innefattande vilka åtgärder som kan vidtas för att minska eventuella risker. Flera internationella tillsynsmyndigheter har utformat riktlinjer avseende vad bedömningen ska innehålla och hur den ska utföras. Om det inte går att minska riskerna på ett tillfredsställande sätt ska tillsynsmyndigheten (för svensk del Datainspektionen) rådfrågas innan behandlingen påbörjas. I praktiken vill man inte hamna i en situation där Datainspektionen behöver rådfrågas, då detta betyder att man inte lyckats begränsa riskerna med den planerade behandlingen i tillfredsställande grad.

En konsekvensbedömning ska utföras om behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”. För att tydliggöra när kravet på konsekvensbedömning föreligger publicerade EU:s Artikel 29-grupp, ett samlingsorgan för EU:s dataskyddsmyndigheter, i april ett utkast till riktlinjer för konsekvensbedömningar. Riktlinjerna anger kriterier som ska fungera som ett stöd när de nationella tillsynsmyndigheterna upprättar en förteckning över de behandlingar som omfattas av kravet på konsekvensbedömning.

Behandlingar som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter
Enligt riktlinjerna ska, som utgångspunkt, en konsekvensbedömning göras om två eller flera av följande kriterier är uppfyllda för en viss personuppgiftsbehandling:

• Behandlingen innehåller moment av utvärdering eller profilering. Som exempel nämns banker som utför automatiserade kreditbedömningar och företag som bygger marknadsföringsprofiler baserade på Internetanvändares beteende på företagets hemsida.
• Behandlingen innefattar automatiserat beslutsfattande, exempelvis genom automatisk gallring av kandidater i en rekryteringsprocess.
• Behandlingen utgör systematisk övervakning, vilket bland annat blir aktuellt vid kameraövervakning på allmän plats.
• Behandlingen innefattar känsliga personuppgifter, där känsliga personuppgifter innefattar bland annat hälsouppgifter och biometriska- eller genetiska uppgifter, men också finansiell information och annat som är särskilt integritetskänsligt.
• Storskalig personuppgiftsbehandling. Vid bedömningen om behandlingen är storskalig tas särskild hänsyn till antalet individer som berörs, mängden personuppgifter, varaktigheten och den geografiska omfattningen.
• Behandlingen innefattar en kombination eller samkörning av personuppgiftsregister, exempelvis vid behandling av personuppgifter som är insamlade för olika syften och härrör från två eller flera källor.
• Behandling av personuppgifter som avser skyddsvärda persongrupper, dvs. där det inte råder maktbalans mellan den registrerade personen och den personuppgiftsansvarige (exempelvis i relation till anställda, barn, patienter och äldre).
• Behandling av personuppgifter på ett innovativt sätt eller med användning av ny teknik, exempelvis Internet of Things-utrustning (som kan ha stor inverkan på personers dagliga liv och integritet).
• Överföring av personuppgifter till land utanför EU.
• Behandling som hindrar personer från att utöva en rättighet, använda en tjänst eller ingå ett avtal, såsom genom att nekas banklån baserad på automatisk kreditbedömning.

Om en behandling av personuppgifter uppfyller minst två av kriterierna ovan menar Artikel 29-gruppen att det i allmänhet föreligger en hög risk och en konsekvensbedömning ska därmed utföras. Ett exempel som sannolikt omfattas är forskningsverksamhet, eftersom sådan innefattar känsliga personuppgifter och moment av utvärdering eller profilering samt ofta berör skyddsvärda persongrupper. Ett annat exempel är kreditupplysningsverksamhet, eftersom sådan innefattar behandling av uppgifter i stor skala, moment av utvärdering och profilering samt samkörning av personuppgiftsregister.

Råd till företag som träffas av skyldigheten att göra en konsekvensbedömning
Genom en korrekt utförd konsekvensbedömning belyser företaget vilka konsekvenser behandlingen av personuppgifter kan få och vilka åtgärder som vidtagits för att minska riskerna med behandlingen. Avsaknad av konsekvensbedömning eller brister i bedömningen kan, när en sådan krävs enligt GDPR, leda till sanktionsavgifter på upp till det högre av EUR 10 miljoner eller två procent av bolagets globala omsättning.

I riktlinjerna anges att någon konsekvensbedömning inte behöver utföras för behandling som påbörjats före den 25 maj 2018. Däremot måste behandling som påbörjas därefter, och som medför hög integritetsrisk, vara föremål för en konsekvensbedömning. Detsamma gäller nu existerande behandlingar som förändras i syfte eller omfattning efter att GDPR börjar tillämpas. Artikel 29-gruppen rekommenderar dessutom att all existerande personuppgiftsbehandling utvärderas var tredje år. Vet man med sig att man ägnar sig åt behandling som kommer att anses som konsekvensbedömningspliktig under GDPR är vårt råd därför att redan nu upprätta en konsekvensbedömning. Denna kan sedan uppdateras löpande vid förändringar i företagets personuppgiftsbehandling. På så sätt effektiviseras arbetet när man vill förändra existerande behandlingar, eller påbörja nya aktiviteter som innefattar personuppgifter, under GDPR.

Vi tar fram konsekvensbedömningar i nära samarbete med våra klienter, och hjälper gärna även er att fastställa om en konsekvensbedömning behövs samt säkerställa att dokumentet i så fall uppfyller de krav som ställs.