En konsekvensbedömning innebär att man tittar på vilka risker som finns med att behandla personuppgifter på ett visst sätt. Det finns riktlinjer för vad som anses vara en acceptabel eller oacceptabel risk. Tillsynsmyndighet för kontroll av dessa riktlinjer är i Sverige Datainspektionen. I korta drag så innebär en konsekvensbedömning att man ställer risken med att hålla en viss typ av personuppgifter på ett visst sätt, mot den eventuella vinning som företaget kan uppnå genom att hålla personuppgifterna. Ett företag som sysslar med försäljning, behöver ju ha ett kundregister. Det väger ganska tungt och risken för några allvarliga konsekvenser om exempelvis uppgifterna skulle läcka ut, anses små. Då är bedömningen enkel. Men i vissa fall kan det vara mer osäkert hur man ska göra bedömningen. Vi på Rättsakuten hjälper dig med att göra en konsekvensbedömning.

Om det funnes en knapp som löste alla problem med Dataskydssförordningen skulle vi ha sålt den till er.

Vilka förfaranden innebär rent generellt en hög risk?

Om man tittar rent generellt på vilken typ av förfarande som leder till en ökad risk för att den personliga integriteten kränks för de personer vars uppgifter man håller, så ser man några vanligt förekommande:

1. Om man samlar in data som kan användas för så kallad profilering. Det betyder alltså uppgifter som kan hjälpa till att bygga en bild av en individ. Ett exempel på detta är kreditbedömningar. Även marknadsföringsrelaterade analyser där man lagrar data om individer i syfte att kunna rikta reklam innebär en högre risk. Risken ligger i att om personuppgifterna hamnar i fel händer så kan de missbrukas och leda till negativa konsekvenser för den vars uppgifter det gäller.
2. Automatiska gallringsprocesser innebär en ökad risk för personens rättigheter och frihet. Detta beror på att det i regel behövs mycket information om varje individ för att kunna genomföra en gallring. Mycket information innebär i sin tur större konsekvenser om informationen hamnar i fel händer. Ett exempel kan vara att man som rekryteringsfirma håller mycket data gällande en persons CV.
3. Om man arbetar med systematisk övervakning, exempelvis via kamera, så gäller det att vara noga med säkerheten av datan samt att den raderas enligt gällande bestämmelser och regler.
4. Personuppgifter som överförs utanför EU är alltid en stor risk. I många andra länder är IT-säkerheten betydligt sämre än i Europa. Där i ligger alltså en stor risk.
5. Behandling av personuppgifter som påverkar personen negativt när det gäller att utöva sina rättigheter. Ett exempel kan vara om ett företag utför automatiska kreditprövningar, som i sin tur bidrar till att personens kreditvärde blir sämre och dennes förutsättningar att ta lån således blir sämre. Det är en allvarlig konsekvens som förmodligen i 100 fall av 100 kommer att leda till att konsekvenserna blir större än vinsterna.

Det här var bara ett urval av alla exempel på förfaranden som i regel leder till en negativ konsekvens när man gör konsekvensbedömningar. Dataskyddsförordningens text innehåller fler förfaranden. Man brukar säga att om man uppfyller två eller fler av dessa punkter så föreligger det en så pass hög risk med att hantera personuppgifter på det sättet, att man ska avstå.

Ta hjälp av Rättsakuten för att genomföra en konsekvensbedömning

Vi på Rättsakuten hjälper dig att genomföra en korrekt utförd konsekvensbedömning. Tillsammans tittar vi på era rutiner, hur ni jobbar samt vad ni vill uppnå med er verksamhet. Står hanteringen av personuppgifter i proportion till den risk som det innebär att hantera dom? Kontakta oss idag så berättar vi mer. Vill ni veta mer om GDPR och dataskyddsförordningen, klicka här .