Enligt EU:s Dataskyddsförordning (GDPR) ska en personuppgiftsansvarig – innan behandling sker – göra en konsekvensbedömning om den tänkta behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”. I praktiken innebär detta att en analys ska göras för att kunna bedöma de faktiska riskerna för den enskilde vad avser skyddet för personuppgifterna. Man behöver således inte göra en sådan analys om det är osannolikt att det finns en risk, eller om man kan avhjälpa risken genom lämpliga åtgärder (t ex anonymisering).
I lagstiftningen räknas tre situationer upp där en konsekvensanalys särskilt ska göras; (a) vid systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling (inklusive profilering), (b) vid behandling i stor omfattning av känsliga uppgifter (t ex politisk åsikt, sexuell läggning, religiös åskådning etc.) samt (c) vid systematisk övervakning av en allmän plats. Skyldigheten föreligger dock endast om en nu angiven behandling med sannolikhet leder till risker för den enskilde. Detta är en av de delar i GDPR som är ny jämfört med vad som tidigare gällde för personuppgiftsbehandling, och osäkerheten är stor vad artikel 35 i GDPR egentligen omfattar.
I GDPR framgår också att tillsynsmyndigheten i respektive medlemsland ska upprätta en förteckning när en konsekvensbedömning ska göras, och nu har Datainspektionen publicerat denna.
Datainspektionen har fastställt att konsekvensbedömning ska göras (med vissa undantag) om behandlingen uppfyller minst två av följande kriterier:
1.utvärdering och poängsättning av människor (t ex genetiska tester, kreditupplysningsföretag, profilering av internetanvändare),
2.behandling i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den registrerade
3.systematisk övervakning, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer
4.behandling av känsliga personuppgifter uppgifter som är av mycket personlig karaktär, (t ex patientjournaler, lokaliseringsuppgifter, finansiella uppgifter) artikel 9 bland annat biometriska uppgifter som behandlas för att entydigt identifiera en fysisk person.)
5.behandling av personuppgifter i stor omfattning
6.kombinering av personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad de registrerade rimligen kunnat förvänta sig, (t ex samkörning av register)
7.behandling av personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, (t ex barn, anställda, asylsökande, äldre och patienter)
8.använder ny teknik eller nya organisatoriska lösningar, (t ex IoT; Internet of Things).
9.behandling av personuppgifter i syfte att hindra registrerade från att få tillgång till en tjänst eller ingå ett avtal (bankers granskning av kreditupplysingsdatabaser vid låneansökning).
Som exempel på behandling har Datainspektionen räknat upp ett antal situationer (i en icke uttömmande lista), som berör arbetsgivare, vid marknadsföring, känsliga uppgifter, annan privat sektor, offentlig sektor samt viss exemplifiering av teknik.
En konsekvensbedömning kan behöva göras om en arbetsgivare övervakar hur de anställda använder Internet och e-post. Om man vid marknadsföring lokaliserar eller profilerar kunder för att rikta marknadsföring, sociala medier där man samlar in detaljerade uppgifter om användningen och skolverksamhet, för att nämna några av de exempel som Datainspektionen ger.
När det gäller teknik så bör man som innovationsföretag och start-up vara uppmärksam. Smarta hem-produkter (där man genom t ex en smartphone kan styra värme, bokning av tvättstuga etc.) kan utgöra en sådan teknik som innebär att en konsekvensbedömning ska göras. Parkeringsbolag som använder sig av kameror för att registrera registreringsskyltar är också ett sådant exempel, liksom installation av smarta elmätare.
Den slutsats som kan dras är att den förteckning som Datainspektionen lämnat förtydligar en hel del, men det finns fortfarande oklarheter. Hur ska man t ex se på frågan om det ”sannolikt” innebär en risk, och vad innebär egentligen ”behandling i stor omfattning”? Det kommer att komma praxis inom området, som ytterligare klargör vad gränsen går mellan en skyldighet att göra en konsekvensbedömning och när man inte behöver göra det. Om man inte gör en konsekvensbedömning när man borde ha gjort det som personuppgiftsansvarig innebär det ett brott mot GDPR.
____________________
Vid frågor kring GDPR och konsekvensbedömning, kontakta:
Sara Malmgren, advokat på Foyen Advokatfirma sara.malmgren@foyen.se.
