Tillbaka till nyheter
Post date 18 januari 2019

Förteckning klargör när konsekvensbedömning måste göras

Informationssäkerhet
Profilbild
David Börjesson
VD & verksamhetskonsult

I vissa fall då exempelvis företag eller myndigheter tänkt samla in och använda personuppgifter måste de först göra en konsekvensbedömning för att identifiera riskerna för de personer som kommer att registreras. Datainspektionen har nu tagit fram en förteckning över i vilka fall en sådan bedömning ska göras.

Datainspektionen har nu publicerat en förteckning som beskriver när företag, myndigheter och andra organisationer måste göra en konsekvensbedömning innan de börjar att samla in och använda personuppgifter.

Enligt dataskyddsförordningen, GDPR, ska en konsekvensbedömning göras när det är sannolikt att det finns en hög risk med sättet som personuppgifterna ska hanteras. Den som bryter mot skyldigheten att göra en konsekvensbedömning riskerar att drabbas av en sanktionsavgift.

En konsekvensbedömning ska bland annat innehålla en inventering av riskerna för de personer vars uppgifter kommer att registreras och de åtgärder som planeras för att hantera riskerna.

Förteckningen består av en lista på nio kriterier som ska ligga till grund för bedömningen av om en konsekvensbedömning måste göras. En sådan bedömning ska göras om minst två av kriterierna är uppfyllda. Förteckningen bygger på de riktlinjer som tagits fram av EU-ländernas dataskyddsmyndigheter gemensamt genom Artikel 29-gruppen.

Bland kriterierna:
• Behandling av personuppgifter som innebär utvärdering eller poängsättning av människor
• Behandling av känsliga personuppgifter eller uppgifter av mycket personlig karaktär
• Behandling av personuppgifter på ett sätt som innebär systematisk övervakning av människor
• Behandling som innebär användning av ny teknik eller nya organisatoriska lösningar

I förteckningen finns också ett flertal olika exempel på när minst två av dessa kriterier kan anses vara uppfyllda. Bland dessa exempel finns:
• Arbetsgivare som systematiskt övervakar hur de anställda använder internet och e-post
• Företag som använder kunders lokaliseringsuppgifter, via exempelvis en mobilapp, för att rikta marknadsföring till kunden
• Parkeringsbolag som använder kamerabevakning som kan skilja ut registreringsnummer i syfte att debitera parkeringsavgifter

Här finner Ni förteckningen.

Informationen kommer Datainspektionen.

Vid frågor eller för mer information, kontakta Altea AB.

Vi är Altea

Altea AB är ett konsultföretag som arbetar med internationella standarder, bland annat ISO 14001, 9001, 27001 och 45001.
Vi har även tagit fram den internationellt erkända och varumärkesskyddade metoden Hackeforsmodellen.

Vi kombinerar expertkunskap med smarta digitala lösningar för att hjälpa er växa, förbättras och ligga steget före i att nå mål och uppfylla krav. 

Namn är obligatoriskt
Efternamn är obligatoriskt
Företag är obligatoriskt
Vänligen ange ett meddelande