Vad är en konsekvensbedömning och när måste en sådan göras?
En konsekvensbedömning är en riskanalys som ett företag ska göra vid uppstart av behandling av personuppgifter. I dataskyddsförordningen artikel 35.4 framgår när en konsekvensbedömning ska göras vilket är om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Integritetsskyddsmyndigheten (IMY) har gett ut råd och riktlinjer till företag kring just konsekvensbedömningar. Ni kan läsa mer här Konsekvensbedömningar och förhandssamråd | IMY
Exempel på tillfällen då en konsekvensbedömning ska göras är vid kamerabevakning, GPS-positionering, vid inrättande av ett internt rapporteringssystem enligt visselblåsarlagen, samt annan typ av behandling som kan innebära en hög risk för de registrerades rättigheter och friheter såsom behandling av känsliga personuppgifter. Med hög risk avses att det finns en risk att obehöriga personer får tillgång till personlig eller känslig information och att konsekvenserna för den registrerade blir stora tex genom att använda personuppgifterna för diskriminering, bedrägeri eller skadat anseende.
Om en konsekvensbedömning skulle visa att behandlingen innebär en hög risk för den registrerade och det inte kan avhjälpas genom att vidta särskilda åtgärder, tex kryptering, sekretess, behörighetsstyrning eller begränsning av vilken typ av uppgifter som samlas in, ska företaget begära ett så kallat förhandssamråd från IMY.