Gå direkt till innehållet

När måste en konsekvensbedömning avseende dataskydd göras?

Svar

En konsekvensbedömning avseende dataskydd krävs varje gång behandling sannolikt leder till en hög risk för enskilda personers rättigheter och friheter. En konsekvensbedömning avseende dataskydd krävs åtminstone i följande fall:

  • en systematisk och omfattande bedömning av en enskild persons personliga förhållanden, däribland profilering,
  • behandling av känsliga uppgifter i stor omfattning,
  • systematisk övervakning av offentliga områden i stor omfattning.

Nationella dataskyddsmyndigheter kan, i samarbete med Europeiska dataskyddsstyrelsen, tillhandahålla förteckningar över fall då det krävs en konsekvensbedömning avseende dataskydd. Konsekvensbedömningen ska utföras före behandlingen och ska ses som ett ständigt aktivt verktyg, inte bara som en engångsmanöver. När det finns kvarvarande risker som inte kan åtgärdas genom de åtgärder som finns inrättade, måste dataskyddsmyndigheten rådfrågas innan behandlingen inleds.

Exempel

Konsekvensbedömning avseende dataskydd krävs
En bank som kontrollerar sina kunder mot en kreditupplysningsdatabas; ett sjukhus som ska införa en ny hälsoinformationsdatabas med patienters hälsouppgifter; ett bussbolag som ska införa kameror på fordonen för att övervaka förarnas och passagerarnas beteende.

Konsekvensbedömning avseende dataskydd krävs inte
En ortsläkare som behandlar sina patienters personuppgifter. I detta fall behövs det ingen konsekvensbedömning eftersom ortsläkarens behandling av uppgifter inte görs i stor omfattning när antalet patienter är begränsat.

Referenser

Examples

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.