Vad innebär DPIA och när behövs det?
När er verksamhet påbörjar nya personuppgiftsbehandlingar, ska behandla uppgifter för nya ändamål eller använda ny teknik behöver ni göra en analys. Detta för att ta reda på om behandlingen kan leda till en hög risk för fysiska personers rättigheter och friheter.
Det är särskilt viktigt om:
-
behandlingen innefattar känsliga personuppgifter eller uppgifter om brott i stor omfattning,
-
behandlingen innebär systematisk och omfattande övervakning av en allmän plats
-
det förekommer automatiskt beslutsfattande som har betydande konsekvenser för de registrerade.
Om ni kommer fram till att en behandling kan innebära en hög risk måste ni göra en konsekvensbedömning avseende dataskydd, vilket även kallas DPIA (Data Protection Impact Assessment). En DPIA har som syfte att förebygga risker och samtidigt finnas som bevis för att ni har gjort en bedömning av riskerna och av vilka skyddsåtgärder som krävs.
Vad är egentligen en hög risk?
Europeiska dataskyddsstyrelsen (EDPB) har riktlinjer som hjälper till att avgöra hur riskfylld en behandling är. Börja med att göra en förhandsbedömning. Om minst två av de nio kriterierna uppfylls kan det innebära en hög risk behöver ni göra en DPIA.
Nedan finner du kriterierna i korthet:
- Utvärdering eller poängsättning av de registrerade. Exempelvis verksamheter som granskar sina kunder med hjälp av kreditupplysning eller bioteknikföretag som utför genetiska tester för att förutse sjukdomar/hälsorisker.
- Automatiskt beslutsfattande med rättsliga eller liknande betydande följder. Exempelvis en behandling som kan leda till utestängning eller diskriminering av enskilda.
- Systematisk övervakning där behandlingar används för att observera, övervaka eller kontrollera registrerade. Exempelvis vid kamerabevakning på allmän plats.
- Känsliga uppgifter eller uppgifter av mycket personlig karaktär. Exempelvis ett sjukhus som lagrar patienternas journaler.
- Uppgifter som behandlas i stor omfattning där många registrerade berörs.
- Matchande eller kombinerande uppgiftsserier från två eller flera behandlingar som utförs i olika syften som överstiger den registrerades rimliga förväntningar.
- Uppgifter som rör sårbara registrerade, där det finns en maktobalans mellan de registrerade och den personuppgiftsansvarige. Exempelvis barn eller befolkningsgrupper som behöver socialt skydd.
- Innovativ användning eller tillämpning av nya tekniska eller organisatoriska lösningar. Exempelvis fingeravtryck eller ansiktsigenkänning som används för förbättrad åtkomstkontroll.
- Behandlingen i sig hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal. Exempelvis när en bank granskar sina kunder genom kreditupplysning.
Behöver ni stöd i ert GDPR-arbete?
Känner du att det finns många delar inom GDPR att hålla koll på och att det är svårt att få en överblick? Då rekommenderar vi vår tjänst Privacy as a Service som är en helhetslösning för ert GDPR-arbete. Oavsett hur långt ni kommit med GDPR hjälper vi er att komma igång eller fortsätta där ni är just nu och sätter en process för ert framtida arbete. Tjänsten bygger på Systematiskt dataskyddsarbete (SDA) - en metod utvecklad av oss på Visma Draftit. SDA består av fyra centrala delar:
- Nulägesanalys
- Identifiering av risker
- Åtgärdsförslag och rekommendationer
- Kontinuerlig uppföljning