Konsekvensbedömningar för behandling av personuppgifter

Vad är en konsekvensbedömning?

Konsekvensbedömningar är ett krav som finns i artikel 35 i Dataskyddsförordningen. Syftet är att innan en behandling (radering, överföring, bearbetning etc.) av personuppgifter påbörjas identifiera och minimera risker för personers rättigheter och friheter. Risker ska i första hand bedömas utifrån dataskydds- och integritetsaspekter, men även utifrån andra grundläggande mänskliga rättigheter såsom yttrande- och tankefrihet, fri rörlighet eller förbud mot diskriminering.

Konsekvensbedömningar är inte en engångsföreteelse utan en ständigt pågående process. En konsekvensbedömning föregås alltid av en riskanalys.

Om den som ansvarar för personuppgiftsbehandlingen anser att riskerna inte är så pass stora att en konsekvensbedömning bedöms vara nödvändig ska det motiveras och dokumenteras på ett lämpligt sätt. Beslut som fattas utifrån en konsekvensbedömning ska dokumenteras.

Konsekvensbedömningen ska utföras före det att personuppgiftsbehandlingen påbörjas.

När behöver en konsekvensbedömning göras?

En konsekvensbedömning krävs alltid i följande fall:

• Vid automatiserat individuellt beslutsfattande (t.ex. rekrytering utan personlig kontakt, helt automatiserad antagning) och profilering (användning av personuppgifter för att skapa särskilda profiler baserat på personliga aspekter och i de fall där dessa profiler används för att fatta automatiserade beslut).
• Vid personuppgiftsbehandling i stor omfattning av känsliga personuppgifter (etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter, uppgifter om hälsa, sexualliv eller sexuella läggning) eller av personuppgifter som rör brott eller misstanke om brott.
• En systematisk övervakning av en allmän plats i stor omfattning.

I bedömningen av begreppet ”stor omfattning” ingår t.ex. hur många som är registrerade, hur länge personuppgifterna behandlas och inom hur stort geografiskt område de registrerade finns.

En konsekvensbedömning krävs också om den planerade personuppgiftsbehandlingen uppfyller minst två av följande kriterier och det bedöms som sannolikt att behandlingen leder till en hög risk.

• utvärderar eller poängsätter människor.
• behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den registrerade.
• systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer.
• behandlar känsliga personuppgifter eller uppgifter som är av mycket personlig karaktär.
• behandlar personuppgifter i stor omfattning.
• kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad de registrerade rimligen kunnat förvänta sig, till exempel när man samkör register.
• behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre och patienter.
• använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (Internet of things, IoT).

Samma konsekvensbedömning kan användas för att bedöma flera personuppgiftsbehandlingar som liknar varandra vad gäller art, omfattning, innehåll, ändamål och risker.

För en ny personuppgiftsbehandling ska konsekvensbedömningen påbörjas så tidigt som möjligt, även om vissa delar av behandlingen fortfarande är okända. Personuppgiftsbehandlingar som påbörjades innan dataskyddsförordningen trädde i kraft den 25 maj 2018 omfattas av kravet på konsekvensbedömning.

När behöver en konsekvensbedömning inte göras?

En konsekvensbedömning behöver inte genomföras om:

• Personuppgiftsbehandlingen sannolikt inte leder till en hög risk för personers rättigheter och friheter.
• Personuppgiftsbehandlingen är mycket lik en annan behandling där det redan finns en konsekvensbedömning.
• Personuppgiftsbehandlingen har sin rättsliga grund i en lag eller förordning, och en konsekvensbedömning redan har genomförts när lagen eller förordningen fastställdes (exempel på sådana saknas ännu).

Vad händer om vi inte gör en konsekvensbedömning?

Om en konsekvensbedömning inte har upprättats i de fall den ska göras eller om den upprättats på ett felaktigt sätt kan lärosätet drabbas av sanktionsavgifter. KTH kan också tvingas upphöra med den specifika behandlingen av personuppgifter.

Vem ansvarar för konsekvensbedömningen?

Det är KTH som personuppgiftsansvarig som ansvarar för att processen genomförs, godkänner genomförd bedömning och använder bedömningen för fortsatta beslut utifrån dess slutsatser.

Om det finns höga risker med personuppgiftsbehandlingen och dessa, efter genomförd konsekvensbedömning och föreslagna åtgärder, fortfarande bedöms som höga, måste ett samråd med Integritetsskyddsmyndigheten genomföras. Detta görs i samarbete med Dataskyddsombudet.

Hur ska en konsekvensbedömning genomföras?

1. Fyll i mallen för konsekvensbedömning. Mallen (svenska) finns här: Mall för konsekvensbedömning (docx 101 kB)
2. Kontakta KTH:s dataskyddsombud via e-post. Om konsekvensbedömningen avser ett forskningsprojekt: bifoga projektbeskrivning, ev. datahanteringsplan och ev. etisk ansökan till och/eller beslut från Etikprövningsmyndigheten.

I processen för konsekvensbedömningar bör personer som representerar olika synvinklar och kompetenser samverka för att göra en korrekt bedömning, t.ex. projektledare, forskningsledare eller av forskningsledaren utsedd forskare (i forskningsprojekt).

I vissa fall kan det även vara lämpligt att få de registrerades åsikter i konsekvensbedömningen. Om detta inte anses lämpligt ska skälen till detta dokumenteras.

Om Dataskyddsombudet lämnar råd i bedömningen bör detta dokumenteras i genomförandemallen.

Kontaktuppgifter till KTH:s Dataskyddsombud

Robin Roy

E-post: dataskyddsombud@kth.se

Telefon: 08- 790 87 52

Adress: Brinellvägen 8, 100 44 Stockholm