Konsekvensbedömning

En konsekvensbedömning ska utföras när två krav är uppfyllda:

1. när en ny typ av personuppgiftsbehandling ska påbörjas eller en betydande förändring ska ske i en redan pågående behandling, och
2. behandlingen antas medföra hög risk för individens integritet.

Det finns ingen uttömmande uppräkning i dataskyddsförordningen av de situationer som omfattas av kravet på konsekvensbedömning utan det krävs att en bedömning görs i varje enskilt fall. I denna bedömning ska hänsyn tas till om det handlar om en ny typ av behandling, om ny teknik ska användas och även till behandlingens generella art, omfattning, sammanhang och ändamål.

I artikel 35.3 i dataskyddsförordningen anges att en konsekvensbedömning avseende dataskydd särskilt ska krävas i följande fall:

1. En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.
2. Behandling i stor omfattning av känsliga personuppgifter eller av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott.
3. Systematisk övervakning av en allmän plats i stor omfattning.

Integritetsskyddsmyndigheten har dessutom antagit en förteckning över när en konsekvensbedömning ska göras. Förteckningen är dock inte uttömmande och kan komma att uppdateras och kompletteras med fler exempel framöver. Enligt förteckningen ska en konsekvensbedömning genomföras om den planerade behandlingen uppfyller minst två av de kriterier som anges på sidan 3 i förteckningen. Här hittar du förteckningen.

Vid frågor eller tveksamheter rörande om en konsekvensbedömning behöver genomföras, kan stadsjuridiska enheten eller nämndens dataskyddsombud kontaktas.

Observera att det är tillåtet att göra en gemensam konsekvensbedömning för en serie av liknande personuppgiftsbehandlingar. Det förutsätter dock att det handlar om liknande risker och att bedömningarna avser likvärdiga situationer.

Staden har tagit fram en mall som ska användas vid konsekvensbedömningar. Du hittar mallen med tillhörande instruktion i högerspalten på denna sida.

Frågan om en konsekvensbedömning behöver genomföras bör lyftas åtminstone i följande situationer:

• Vid utveckling eller anskaffning av ny teknik eller nya system som behandlar personuppgifter.
• Vid upprättande av ett nytt register för behandling av personuppgifter som sannolikt innebär en hög risk för individens integritet.
• När man planerar en förändring av ett befintligt system eller register för behandling av personuppgifter när förändringen kan tänkas medföra en ny eller ökad risk för den personliga integriteten.
• När man utformar nya interna regler eller föreskrifter som kan tänkas påverka hur nämnden behandlar personuppgifter.

En uppföljning av konsekvensbedömningen ska genomföras vid behov. Detta är till exempel fallet när den risk som personuppgiftsbehandlingen medför förändras eller när andra omständigheter medför att det är lämpligt att se över konsekvensbedömningen.