InnehållInnehåll Svar En konsekvensbedömning avseende dataskydd krävs varje gång behandling sannolikt leder till en hög risk för enskilda personers rättigheter och friheter. En konsekvensbedömning avseende dataskydd krävs åtminstone i följande fall: en systematisk och omfattande bedömning av en enskild persons personliga förhållanden, däribland profilering, behandling av känsliga uppgifter i stor omfattning, systematisk övervakning av offentliga områden i stor omfattning. Nationella dataskyddsmyndigheter kan, i samarbete med Europeiska dataskyddsstyrelsen, tillhandahålla förteckningar över fall då det krävs en konsekvensbedömning avseende dataskydd. Konsekvensbedömningen ska utföras före behandlingen och ska ses som ett ständigt aktivt verktyg, inte bara som en engångsmanöver. När det finns kvarvarande risker som inte kan åtgärdas genom de åtgärder som finns inrättade, måste dataskyddsmyndigheten rådfrågas innan behandlingen inleds. Exempel Konsekvensbedömning avseende dataskydd krävsEn bank som kontrollerar sina kunder mot en kreditupplysningsdatabas; ett sjukhus som ska införa en ny hälsoinformationsdatabas med patienters hälsouppgifter; ett bussbolag som ska införa kameror på fordonen för att övervaka förarnas och passagerarnas beteende. Konsekvensbedömning avseende dataskydd krävs inteEn ortsläkare som behandlar sina patienters personuppgifter. I detta fall behövs det ingen konsekvensbedömning eftersom ortsläkarens behandling av uppgifter inte görs i stor omfattning när antalet patienter är begränsat. Referenser Europeiska dataskyddsstyrelsens riktlinjer om konsekvensbedömning avseende dataskydd Artikel 35, 36; skäl 89, 90, 91, 92, 93, 94, 95, 96 Examples DPIA required A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour. DPIA not required A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited. References EDPB Guidelines on Data Protection Impact Assessment (DPIA) Articles 35 and 36 and Recitals (89) to (96) of the GDPR
