{"id":38205,"date":"2017-08-29T08:49:26","date_gmt":"2017-08-29T08:49:26","guid":{"rendered":"https:\/\/setterwalls.se\/article\/behover-ditt-foretag-gora-en-konsekvensbedomning\/"},"modified":"2022-02-14T13:42:17","modified_gmt":"2022-02-14T13:42:17","slug":"behover-ditt-foretag-gora-en-konsekvensbedomning","status":"publish","type":"articles","link":"https:\/\/setterwalls.se\/en\/article\/behover-ditt-foretag-gora-en-konsekvensbedomning\/","title":{"rendered":"Beh\u00f6ver ditt f\u00f6retag g\u00f6ra en konsekvensbed\u00f6mning?"},"content":{"rendered":"<p><strong>Bakgrund<\/strong><br \/>Den 25 maj 2018 b\u00f6rjar den nya dataskyddsf\u00f6rordningen (GDPR) att till\u00e4mpas, vilket inneb\u00e4r sk\u00e4rpta sanktioner och flera nya regler inom personuppgiftsomr\u00e5det. En av nyheterna i GDPR \u00e4r reglerna om konsekvensbed\u00f6mningar. I en konsekvensbed\u00f6mning g\u00f6r f\u00f6retaget en riskanalys avseende viss personuppgiftsbehandling, innefattande vilka \u00e5tg\u00e4rder som kan vidtas f\u00f6r att minska eventuella risker. Flera internationella tillsynsmyndigheter har utformat riktlinjer avseende vad bed\u00f6mningen ska inneh\u00e5lla och hur den ska utf\u00f6ras. Om det inte g\u00e5r att minska riskerna p\u00e5 ett tillfredsst\u00e4llande s\u00e4tt ska tillsynsmyndigheten (f\u00f6r svensk del Datainspektionen) r\u00e5dfr\u00e5gas innan behandlingen p\u00e5b\u00f6rjas. I praktiken vill man inte hamna i en situation d\u00e4r Datainspektionen beh\u00f6ver r\u00e5dfr\u00e5gas, d\u00e5 detta betyder att man inte lyckats begr\u00e4nsa riskerna med den planerade behandlingen i tillfredsst\u00e4llande grad.<\/p>\n<p>En konsekvensbed\u00f6mning ska utf\u00f6ras om behandlingen \u201dsannolikt leder till en h\u00f6g risk f\u00f6r fysiska personers r\u00e4ttigheter och friheter\u201d. F\u00f6r att tydligg\u00f6ra n\u00e4r kravet p\u00e5 konsekvensbed\u00f6mning f\u00f6religger publicerade EU:s Artikel 29-grupp, ett samlingsorgan f\u00f6r EU:s dataskyddsmyndigheter, i april ett utkast till riktlinjer f\u00f6r konsekvensbed\u00f6mningar. Riktlinjerna anger kriterier som ska fungera som ett st\u00f6d n\u00e4r de nationella tillsynsmyndigheterna uppr\u00e4ttar en f\u00f6rteckning \u00f6ver de behandlingar som omfattas av kravet p\u00e5 konsekvensbed\u00f6mning.<\/p>\n<p><strong>Behandlingar som sannolikt leder till en h\u00f6g risk f\u00f6r fysiska personers r\u00e4ttigheter och friheter<\/strong><br \/>Enligt riktlinjerna ska, som utg\u00e5ngspunkt, en konsekvensbed\u00f6mning g\u00f6ras om tv\u00e5 eller flera av f\u00f6ljande kriterier \u00e4r uppfyllda f\u00f6r en viss personuppgiftsbehandling:<\/p>\n<ul>\n<li>Behandlingen inneh\u00e5ller moment av utv\u00e4rdering eller profilering. Som exempel n\u00e4mns banker som utf\u00f6r automatiserade kreditbed\u00f6mningar och f\u00f6retag som bygger marknadsf\u00f6ringsprofiler baserade p\u00e5 Internetanv\u00e4ndares beteende p\u00e5 f\u00f6retagets hemsida.<\/li>\n<li>Behandlingen innefattar automatiserat beslutsfattande, exempelvis genom automatisk gallring av kandidater i en rekryteringsprocess.<\/li>\n<li>Behandlingen utg\u00f6r systematisk \u00f6vervakning, vilket bland annat blir aktuellt vid kamera\u00f6vervakning p\u00e5 allm\u00e4n plats.<\/li>\n<li>Behandlingen innefattar k\u00e4nsliga personuppgifter, d\u00e4r k\u00e4nsliga personuppgifter innefattar bland annat h\u00e4lsouppgifter och biometriska- eller genetiska uppgifter, men ocks\u00e5 finansiell information och annat som \u00e4r s\u00e4rskilt integritetsk\u00e4nsligt.<\/li>\n<li>Storskalig personuppgiftsbehandling. Vid bed\u00f6mningen om behandlingen \u00e4r storskalig tas s\u00e4rskild h\u00e4nsyn till antalet individer som ber\u00f6rs, m\u00e4ngden personuppgifter, varaktigheten och den geografiska omfattningen.<\/li>\n<li>Behandlingen innefattar en kombination eller samk\u00f6rning av personuppgiftsregister, exempelvis vid behandling av personuppgifter som \u00e4r insamlade f\u00f6r olika syften och h\u00e4rr\u00f6r fr\u00e5n tv\u00e5 eller flera k\u00e4llor.<\/li>\n<li>Behandling av personuppgifter som avser skyddsv\u00e4rda persongrupper, dvs. d\u00e4r det inte r\u00e5der maktbalans mellan den registrerade personen och den personuppgiftsansvarige (exempelvis i relation till anst\u00e4llda, barn, patienter och \u00e4ldre).<\/li>\n<li>Behandling av personuppgifter p\u00e5 ett innovativt s\u00e4tt eller med anv\u00e4ndning av ny teknik, exempelvis Internet of Things-utrustning (som kan ha stor inverkan p\u00e5 personers dagliga liv och integritet).<\/li>\n<li>\u00d6verf\u00f6ring av personuppgifter till land utanf\u00f6r EU.<\/li>\n<li>Behandling som hindrar personer fr\u00e5n att ut\u00f6va en r\u00e4ttighet, anv\u00e4nda en tj\u00e4nst eller ing\u00e5 ett avtal, s\u00e5som genom att nekas bankl\u00e5n baserad p\u00e5 automatisk kreditbed\u00f6mning.<\/li>\n<\/ul>\n<p>Om en behandling av personuppgifter uppfyller minst tv\u00e5 av kriterierna ovan menar Artikel 29-gruppen att det i allm\u00e4nhet f\u00f6religger en h\u00f6g risk och en konsekvensbed\u00f6mning ska d\u00e4rmed utf\u00f6ras. Ett exempel som sannolikt omfattas \u00e4r forskningsverksamhet, eftersom s\u00e5dan innefattar k\u00e4nsliga personuppgifter och moment av utv\u00e4rdering eller profilering samt ofta ber\u00f6r skyddsv\u00e4rda persongrupper. Ett annat exempel \u00e4r kreditupplysningsverksamhet, eftersom s\u00e5dan innefattar behandling av uppgifter i stor skala, moment av utv\u00e4rdering och profilering samt samk\u00f6rning av personuppgiftsregister.<\/p>\n<p><strong>R\u00e5d till f\u00f6retag som tr\u00e4ffas av skyldigheten att g\u00f6ra en konsekvensbed\u00f6mning<\/strong><br \/>Genom en korrekt utf\u00f6rd konsekvensbed\u00f6mning belyser f\u00f6retaget vilka konsekvenser behandlingen av personuppgifter kan f\u00e5 och vilka \u00e5tg\u00e4rder som vidtagits f\u00f6r att minska riskerna med behandlingen. Avsaknad av konsekvensbed\u00f6mning eller brister i bed\u00f6mningen kan, n\u00e4r en s\u00e5dan kr\u00e4vs enligt GDPR, leda till sanktionsavgifter p\u00e5 upp till det h\u00f6gre av EUR 10 miljoner eller tv\u00e5 procent av bolagets globala oms\u00e4ttning.<\/p>\n<p>I riktlinjerna anges att n\u00e5gon konsekvensbed\u00f6mning inte beh\u00f6ver utf\u00f6ras f\u00f6r behandling som p\u00e5b\u00f6rjats f\u00f6re den 25 maj 2018. D\u00e4remot m\u00e5ste behandling som p\u00e5b\u00f6rjas d\u00e4refter, och som medf\u00f6r h\u00f6g integritetsrisk, vara f\u00f6rem\u00e5l f\u00f6r en konsekvensbed\u00f6mning. Detsamma g\u00e4ller nu existerande behandlingar som f\u00f6r\u00e4ndras i syfte eller omfattning efter att GDPR b\u00f6rjar till\u00e4mpas. Artikel 29-gruppen rekommenderar dessutom att all existerande personuppgiftsbehandling utv\u00e4rderas var tredje \u00e5r. Vet man med sig att man \u00e4gnar sig \u00e5t behandling som kommer att anses som konsekvensbed\u00f6mningspliktig under GDPR \u00e4r v\u00e5rt r\u00e5d d\u00e4rf\u00f6r att redan nu uppr\u00e4tta en konsekvensbed\u00f6mning. Denna kan sedan uppdateras l\u00f6pande vid f\u00f6r\u00e4ndringar i f\u00f6retagets personuppgiftsbehandling. P\u00e5 s\u00e5 s\u00e4tt effektiviseras arbetet n\u00e4r man vill f\u00f6r\u00e4ndra existerande behandlingar, eller p\u00e5b\u00f6rja nya aktiviteter som innefattar personuppgifter, under GDPR.<\/p>\n<p>Vi tar fram konsekvensbed\u00f6mningar i n\u00e4ra samarbete med v\u00e5ra klienter, och hj\u00e4lper g\u00e4rna \u00e4ven er att fastst\u00e4lla om en konsekvensbed\u00f6mning beh\u00f6vs samt s\u00e4kerst\u00e4lla att dokumentet i s\u00e5 fall uppfyller de krav som st\u00e4lls.<\/p>\n","protected":false},"excerpt":{"rendered":"<p><strong>Bakgrund<\/strong><br \/>Den 25 maj 2018 b\u00f6rjar den nya dataskyddsf\u00f6rordningen (GDPR) att till\u00e4mpas, vilket inneb\u00e4r sk\u00e4rpta sanktioner och flera nya regler inom personuppgiftsomr\u00e5det. En av nyheterna i GDPR \u00e4r reglerna om konsekvensbed\u00f6mningar. I en konsekvensbed\u00f6mning g\u00f6r f\u00f6retaget en riskanalys avseende viss personuppgiftsbehandling, innefattande vilka \u00e5tg\u00e4rder som kan vidtas f\u00f6r att minska eventuella risker. Flera internationella tillsynsmyndigheter har utformat riktlinjer avseende vad bed\u00f6mningen ska inneh\u00e5lla och hur den ska utf\u00f6ras. Om det inte g\u00e5r att minska riskerna p\u00e5 ett tillfredsst\u00e4llande s\u00e4tt ska tillsynsmyndigheten (f\u00f6r svensk del Datainspektionen) r\u00e5dfr\u00e5gas innan behandlingen p\u00e5b\u00f6rjas. I praktiken vill man inte hamna i en situation d\u00e4r Datainspektionen beh\u00f6ver r\u00e5dfr\u00e5gas, d\u00e5 detta betyder att man inte lyckats begr\u00e4nsa riskerna med den planerade behandlingen i tillfredsst\u00e4llande grad.<\/p>\n<p>En konsekvensbed\u00f6mning ska utf\u00f6ras om behandlingen \u201dsannolikt leder till en h\u00f6g risk f\u00f6r fysiska personers r\u00e4ttigheter och friheter\u201d. F\u00f6r att tydligg\u00f6ra n\u00e4r kravet p\u00e5 konsekvensbed\u00f6mning f\u00f6religger publicerade EU:s Artikel 29-grupp, ett samlingsorgan f\u00f6r EU:s dataskyddsmyndigheter, i april ett utkast till riktlinjer f\u00f6r konsekvensbed\u00f6mningar. Riktlinjerna anger kriterier som ska fungera som ett st\u00f6d n\u00e4r de nationella tillsynsmyndigheterna uppr\u00e4ttar en f\u00f6rteckning \u00f6ver de behandlingar som omfattas av kravet p\u00e5 konsekvensbed\u00f6mning.<\/p>\n<p><strong>Behandlingar som sannolikt leder till en h\u00f6g risk f\u00f6r fysiska personers r\u00e4ttigheter och friheter<\/strong><br \/>Enligt riktlinjerna ska, som utg\u00e5ngspunkt, en konsekvensbed\u00f6mning g\u00f6ras om tv\u00e5 eller flera av f\u00f6ljande kriterier \u00e4r uppfyllda f\u00f6r en viss personuppgiftsbehandling:<\/p>\n<ul>\n<li>Behandlingen inneh\u00e5ller moment av utv\u00e4rdering eller profilering. Som exempel n\u00e4mns banker som utf\u00f6r automatiserade kreditbed\u00f6mningar och f\u00f6retag som bygger marknadsf\u00f6ringsprofiler baserade p\u00e5 Internetanv\u00e4ndares beteende p\u00e5 f\u00f6retagets hemsida.<\/li>\n<li>Behandlingen innefattar automatiserat beslutsfattande, exempelvis genom automatisk gallring av kandidater i en rekryteringsprocess.<\/li>\n<li>Behandlingen utg\u00f6r systematisk \u00f6vervakning, vilket bland annat blir aktuellt vid kamera\u00f6vervakning p\u00e5 allm\u00e4n plats.<\/li>\n<li>Behandlingen innefattar k\u00e4nsliga personuppgifter, d\u00e4r k\u00e4nsliga personuppgifter innefattar bland annat h\u00e4lsouppgifter och biometriska- eller genetiska uppgifter, men ocks\u00e5 finansiell information och annat som \u00e4r s\u00e4rskilt integritetsk\u00e4nsligt.<\/li>\n<li>Storskalig personuppgiftsbehandling. Vid bed\u00f6mningen om behandlingen \u00e4r storskalig tas s\u00e4rskild h\u00e4nsyn till antalet individer som ber\u00f6rs, m\u00e4ngden personuppgifter, varaktigheten och den geografiska omfattningen.<\/li>\n<li>Behandlingen innefattar en kombination eller samk\u00f6rning av personuppgiftsregister, exempelvis vid behandling av personuppgifter som \u00e4r insamlade f\u00f6r olika syften och h\u00e4rr\u00f6r fr\u00e5n tv\u00e5 eller flera k\u00e4llor.<\/li>\n<li>Behandling av personuppgifter som avser skyddsv\u00e4rda persongrupper, dvs. d\u00e4r det inte r\u00e5der maktbalans mellan den registrerade personen och den personuppgiftsansvarige (exempelvis i relation till anst\u00e4llda, barn, patienter och \u00e4ldre).<\/li>\n<li>Behandling av personuppgifter p\u00e5 ett innovativt s\u00e4tt eller med anv\u00e4ndning av ny teknik, exempelvis Internet of Things-utrustning (som kan ha stor inverkan p\u00e5 personers dagliga liv och integritet).<\/li>\n<li>\u00d6verf\u00f6ring av personuppgifter till land utanf\u00f6r EU.<\/li>\n<li>Behandling som hindrar personer fr\u00e5n att ut\u00f6va en r\u00e4ttighet, anv\u00e4nda en tj\u00e4nst eller ing\u00e5 ett avtal, s\u00e5som genom att nekas bankl\u00e5n baserad p\u00e5 automatisk kreditbed\u00f6mning.<\/li>\n<\/ul>\n<p>Om en behandling av personuppgifter uppfyller minst tv\u00e5 av kriterierna ovan menar Artikel 29-gruppen att det i allm\u00e4nhet f\u00f6religger en h\u00f6g risk och en konsekvensbed\u00f6mning ska d\u00e4rmed utf\u00f6ras. Ett exempel som sannolikt omfattas \u00e4r forskningsverksamhet, eftersom s\u00e5dan innefattar k\u00e4nsliga personuppgifter och moment av utv\u00e4rdering eller profilering samt ofta ber\u00f6r skyddsv\u00e4rda persongrupper. Ett annat exempel \u00e4r kreditupplysningsverksamhet, eftersom s\u00e5dan innefattar behandling av uppgifter i stor skala, moment av utv\u00e4rdering och profilering samt samk\u00f6rning av personuppgiftsregister.<\/p>\n<p><strong>R\u00e5d till f\u00f6retag som tr\u00e4ffas av skyldigheten att g\u00f6ra en konsekvensbed\u00f6mning<\/strong><br \/>Genom en korrekt utf\u00f6rd konsekvensbed\u00f6mning belyser f\u00f6retaget vilka konsekvenser behandlingen av personuppgifter kan f\u00e5 och vilka \u00e5tg\u00e4rder som vidtagits f\u00f6r att minska riskerna med behandlingen. Avsaknad av konsekvensbed\u00f6mning eller brister i bed\u00f6mningen kan, n\u00e4r en s\u00e5dan kr\u00e4vs enligt GDPR, leda till sanktionsavgifter p\u00e5 upp till det h\u00f6gre av EUR 10 miljoner eller tv\u00e5 procent av bolagets globala oms\u00e4ttning.<\/p>\n<p>I riktlinjerna anges att n\u00e5gon konsekvensbed\u00f6mning inte beh\u00f6ver utf\u00f6ras f\u00f6r behandling som p\u00e5b\u00f6rjats f\u00f6re den 25 maj 2018. D\u00e4remot m\u00e5ste behandling som p\u00e5b\u00f6rjas d\u00e4refter, och som medf\u00f6r h\u00f6g integritetsrisk, vara f\u00f6rem\u00e5l f\u00f6r en konsekvensbed\u00f6mning. Detsamma g\u00e4ller nu existerande behandlingar som f\u00f6r\u00e4ndras i syfte eller omfattning efter att GDPR b\u00f6rjar till\u00e4mpas. Artikel 29-gruppen rekommenderar dessutom att all existerande personuppgiftsbehandling utv\u00e4rderas var tredje \u00e5r. Vet man med sig att man \u00e4gnar sig \u00e5t behandling som kommer att anses som konsekvensbed\u00f6mningspliktig under GDPR \u00e4r v\u00e5rt r\u00e5d d\u00e4rf\u00f6r att redan nu uppr\u00e4tta en konsekvensbed\u00f6mning. Denna kan sedan uppdateras l\u00f6pande vid f\u00f6r\u00e4ndringar i f\u00f6retagets personuppgiftsbehandling. P\u00e5 s\u00e5 s\u00e4tt effektiviseras arbetet n\u00e4r man vill f\u00f6r\u00e4ndra existerande behandlingar, eller p\u00e5b\u00f6rja nya aktiviteter som innefattar personuppgifter, under GDPR.<\/p>\n<p>Vi tar fram konsekvensbed\u00f6mningar i n\u00e4ra samarbete med v\u00e5ra klienter, och hj\u00e4lper g\u00e4rna \u00e4ven er att fastst\u00e4lla om en konsekvensbed\u00f6mning beh\u00f6vs samt s\u00e4kerst\u00e4lla att dokumentet i s\u00e5 fall uppfyller de krav som st\u00e4lls.<\/p>\n","protected":false},"author":1,"featured_media":33924,"template":"","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":""},"article_category":[1062],"class_list":["post-38205","articles","type-articles","status-publish","has-post-thumbnail","hentry","article_category-it-technology-telecoms"],"acf":[],"_links":{"self":[{"href":"https:\/\/setterwalls.se\/en\/wp-json\/wp\/v2\/articles\/38205","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/setterwalls.se\/en\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/setterwalls.se\/en\/wp-json\/wp\/v2\/types\/articles"}],"author":[{"embeddable":true,"href":"https:\/\/setterwalls.se\/en\/wp-json\/wp\/v2\/users\/1"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/setterwalls.se\/en\/wp-json\/wp\/v2\/media\/33924"}],"wp:attachment":[{"href":"https:\/\/setterwalls.se\/en\/wp-json\/wp\/v2\/media?parent=38205"}],"wp:term":[{"taxonomy":"article_category","embeddable":true,"href":"https:\/\/setterwalls.se\/en\/wp-json\/wp\/v2\/article_category?post=38205"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}