Att skydda människors personuppgifter är en grundläggande princip inom EU:s dataskyddsförordning (GDPR). Men hur vet man när ett företag eller en organisation måste gå ett steg längre och faktiskt genomföra en formell konsekvensbedömning – en så kallad DPIA (Data ProtectionImpact Assessment)? Här reder vi ut vad en DPIA är, när den krävs, och hur du genomför en på rätt sätt.

Vad är en DPIA?

En DPIA är en systematisk process för att identifiera och minimera risker vid behandling av personuppgifter. Det handlar om att utvärdera vilka konsekvenser en viss behandling kan få för de registrerades integritet. Syftet är att säkerställa att skyddet för individens rättigheter finns på plats och det redan innan man börjar samla in eller använda uppgifter.

DPIA är alltså inte en engångsåtgärd, utan en del av det förebyggande dataskyddsarbetet. Den fungerar både som ett verktyg för riskhantering och som dokumentation som visar att organisationen följer GDPR.

När är en DPIA nödvändig?

Enligt artikel 35 i GDPR ska en DPIA genomföras innan man påbörjar behandling som sannolikt leder till en hög risk för individens rättigheter och friheter. Det gäller särskilt i följande fall:

• Systematisk övervakning i stor skala, exempelvis kameraövervakning i offentliga utrymmen.

• Automatiserade beslut inklusive profilering, som påverkar individen juridiskt eller på liknande sätt (t.ex.kreditprövning eller rekryteringssystem).

• Behandling av känsliga personuppgifter i stor omfattning, till exempel hälsouppgifter, biometriska data eller uppgifter om etnisk tillhörighet.

Datainspektionen har också en lista över behandlingstyper där DPIA oftast krävs, vilket ger vägledning i bedömningen. Även om gränsdragningen ibland kan vara svår, är det alltid bättre att vara försiktig – att genomföra en DPIA när du är osäker är aldrig fel.

Så gör du en DPIA – steg för steg

Att genomföra en DPIA kan kännas överväldigande, men processen kan delas in i fyra huvudsakliga steg:

1. Beskriv behandlingen

Först dokumenterar du vad behandlingen innebär. Vilka uppgifter samlas in? I vilket syfte? Hur lagras de och vem har tillgång? Här bör du också ange system, tekniska lösningar och vilka leverantörer som är inblandade.

2. Bedöm nödvändighet och proportionalitet

Nästa steg är att bedöma om behandlingen är nödvändig för syftet, samt om den står i proportion till den påverkan den kan ha på individen. Finns det mindre ingripande alternativ? Har registrerade informerats?

3. Identifiera och analysera risker

Här identifierar du vilka risker som finns för individens rättigheter, till exempel obehörig åtkomst, felaktig användning eller förlust av data. Du bör också analysera hur allvarliga riskerna är och hur sannolikt det är att de inträffar.

4. Föreslå åtgärder

Slutligen beskriver du vilka åtgärder du planerar att vidta för att minska riskerna. Det kan handla om tekniska skydd (kryptering, åtkomstkontroller), organisatoriska rutiner eller förstärkt information till de registrerade.

Om riskerna fortfarande bedöms som höga, trots åtgärderna, måste du konsultera Integritetsskyddsmyndigheten (IMY) innan behandlingen får börja.