• No results found

Ett faktablad från Draftit

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Ett faktablad från Draftit"

Copied!
6
0
0

Loading.... (view fulltext now)

Download now ( 6 Page )

Full text

(1)

1

DPIA: Utvärdera risker med DPIA: Utvärdera risker med

konsekvensbedömningar

konsekvensbedömningar

(2)

DPIA: Utvärdera risker med konsekvensbedömningar 1

Detta faktablads innehåll bör inte betraktas som juridisk rådgivning eller användas som sådan.

Om Draftit

Draftit har hjälpt organisationer att arbeta regelsmart sedan 2004. Idag är vi nästan 100 medarbetare fördelade på fem kontor i två länder. Som kunskapsförmedlare inom juridik ser vi till att du får tillgång till informationen på ett enkelt och pedagogiskt sätt.

Vi tillhandahåller digitala verktyg för regelefterlevnad inom våra affärsområden GDPR, HR, Lön, Skola och Social. Vill du veta mer? Kontakta oss!

www.draftitprivacy.se

010 - 199 23 50 info@draftitprivacy.com

Utvärdera alltid riskerna innan personuppgifter lagras och behandlas

Det är viktigt att utvärdera risker i samband med behandling av personuppgifter. Hur hanteras personuppgifterna? Görs allt på ett rimligt och proportionerligt sätt? Finns det någon risk att de registrerade personernas integritet kränks?

Ibland räcker det att göra en enklare riskanalys, men i många fall behövs en så kallad konsekvensbedömning avseende dataskydd, ofta kallat en DPIA – Data Protection Impact Assessment. En sådan konsekvensbedömning är en process som går ut på att

beskriva en personuppgiftsbehandling

bedöma om behandlingen är nödvändig och proportionell synliggöra och hantera dataskyddsrisker.

Det är med andra ord en process som ska säkerställa att behandlingen av personuppgifter överensstämmer med lagstiftningen och inte kränker de registrerade personernas rättigheter och friheter. I detta faktablad kan du lära dig mer om:

När måste en DPIA genomföras?

Vad måste en DPIA innehålla?

Hur kan konsekvensbedömningar integreras i organisationens utvecklingsarbete?

Vem gör vad i arbetsprocessen?

(3)

DPIA är ett måste om det finns en hög risk

Att göra konsekvensbedömningar blir ofta aktuellt när en organisation utvecklar nya tjänster, påbörjar nya personuppgiftsbehandlingar, tänker behandla uppgifter för nya ändamål eller börjar använda ny teknik.

En konsekvensbedömning kan behöva göras för något stort (som till exempel en

organisationsförändring), något mellanstort (som ett inköp av nytt datasystem) eller något mindre (som en enskild ny personuppgiftsbehandling).

Det är obligatoriskt att göra en konsekvensbedömning om en behandling ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”. Det framgår av artikel 35 i GDPR.

Det är särskilt viktigt att en konsekvensbedömning görs om

behandlingen innefattar känsliga personuppgifter eller uppgifter om brott i stor omfattning,

behandlingen innebär systematisk och omfattande övervakning av en allmän plats, eller det förekommer automatiskt beslutsfattande som har betydande konsekvenser för de registrerade.

En konsekvensbedömning ska som regel genomföras innan en behandling av personuppgifter påbörjas. Genom att identifiera riskerna med behandlingen i ett tidigt skede går det troligtvis lättare förebygga dem. Men bestämmelserna i GDPR om konsekvensbedömningar gäller även för redan befintliga behandlingar av personuppgifter som redan utförs, i synnerhet om det sker förändringar längs vägen.

(4)

DPIA: Utvärdera risker med konsekvensbedömningar 3

Verksamheten avgör hur DPIA ska utformas

Det finns inga specifika lagkrav på hur en DPIA ska utformas och genomföras rent praktiskt.

Däremot finns det några innehållskriterier i GDPR att komma ihåg.

En konsekvensbedömning ska innehålla:

En systematisk beskrivning av den planerade behandlingen och dess syfte.

En bedömning av behovet av behandlingen och dess proportionalitet i förhållande till syftena.

En utvärdering av vilka risker som kan bli aktuell.

En plan för hur de identifierade riskerna ska hanteras.

Begreppen i och kring GDPR är många och delvis nya. Varför används till exempel både PIA och DPIA som begrepp när man talar om konsekvensbedömningar?

Experten svarar:

Förkortningen PIA står för Privacy Impact Assessment. DPIA står för Data Protection Impact Assessment. Förklaringen till att båda uttrycken förekommer är att EU har valt att använda begreppet data protection, medan privacy är ett sedan länge etablerat begrepp i ett utomeuropeiskt perspektiv.

Vissa menar att det finns en skillnad mellan att göra en PIA och att göra en DPIA, medan andra menar att begreppen är synonyma. Klart är i alla fall att data protection är det uttryck som används i EU:s dataskyddsförordning, och därmed används också DPIA för att tala om en konsekvensbedömning avseende dataskydd enligt GDPR.

DPIA, PIA eller konsekvensbedömning?

(5)

DPIA som del av organisationen

DPIA-processen ger en god överblick gällande vilken typ av data som behandlas, och hur den behandlas.

Samtidigt ger den möjlighet till löpande riskbedömning när nya typer av data tas in i databasen, eller då hanteringen förändras.

Slutligen kan DPIA utformas för att integreras i produktutvecklingscykeln. Det innebär att arbetets upplevda komplexitet kommer att minska över tid.

LÖ PAN

DE RISKB

EDÖ

MNING

VILKEN TYP AV DATA SKA BEHANDLAS?

HUR BEHANDLAS DATAN?

NYA TYPER AV DATA

FÖRÄNDRAD BEHANDLING AV EXISTERANDE DATA

INKLUDERA I PRODUKT- UTVECKLINGSCYKELN

Process för DPIA

En process för strukturerade konsekvensbedömningar

Datainspektionen har i sina vägledningar och uttalanden betonat att alla

personuppgiftsansvariga organisationer ska ha en process för att genomföra strukturerade konsekvensbedömningar löpande. En konsekvensbedömning är ingen punktinsats utan en process, och det är viktigt att den görs till en integrerad del av organisationens arbetssätt.

En DPIA-process liknande den som illustreras här ger möjlighet till löpande riskbedömning om nya typer av data samlas in eller börjar användas i nya sammanhang, eller om hanteringen förändras över tid.

(6)

DPIA: Utvärdera risker med konsekvensbedömningar 5

Få rätt stöd i ert arbete framåt

Med processverktyget Privacy DPIA är det enkelt att värdera om er organisation behöver göra en DPIA och tar er igenom hela processen utifrån kraven i lagstiftningen.

I Privacy E-learning finns en digital kurs specifikt om DPIA. Den är i synnerhet till stor nytta för de nyckelpersoner i organisationen som ansvarar för att konsekvensbedömningar utförs i enlighet med GDPR.

Privacy Expert är ett digitalt kompetensstöd som hjälper er att tolka och förstå dataskyddslagstiftningen i praktiken.

I handboken finns ett särskilt kapitel som beskriver konsekvensbedömningar mer i detalj.

www.draftitprivacy.se

010 - 199 23 50 info@draftitprivacy.com

Kom igång: Vem gör vad?

Ansvaret ligger på organisationen

Det är den personuppgiftsansvarige, alltså organisationen, som är ansvarig för att konsekvensbedömningar genomförs som de ska.

Om det finns ett dataskyddsombud ska hen finnas tillgänglig för att ge rådgivning till den personuppgiftsansvarige. Dataskyddsombudet övervakar även arbetet med DPIA, men är inte personligen ansvarig.

Att göra konsekvensbedömningar kan upplevas som omständligt. Bara att avgöra när det behövs kan vara svårt, särskilt när regelverket är relativt nytt. Men det finns mer hjälp att få!

References

Download now ( PDF - 6 Page - 496.92 KB )

Related documents

Hur används kompetensen?

Författarna till denna pilotstudie anser därför det angeläget att undersöka distriktssköterskors upplevelse av deras yrkesroll och hur deras kompetens används inom

ex av Hur används brukarundersökningar

I tillägg till att besvara dessa frågor innehåller rapporten också en beskrivning och diskussion av vad en kunskapsöversikt kan innebära samt utifrån vilka olika

Hur används

den här artikeln är som dess titel anger en systematisk kunskapsöversikt av vetenskapliga studier som svarar på frågan huruvida offentligt publicerad uppföljningsinformation

Hur används digitala resurser i

Inom den sociokulturella läran är det viktigt att ha möjlighet till samspel, interaktion under inlärning, olika aktiviteter och en variation av verktyg som hjälp i undervisningen

Anställningsintervjuer, hur används de i rekryteringsprocesser?

Rekryteraren behöver därför använda intervjutillfället för att ta reda på så mycket de kan om kandidaten genom att ställa följdfrågor och inte bara acceptera alla

Data Protection Impact Assessment (DPIA) and Risk Assessment in the context of the General Data Protection Regulation (GDPR)

The European Union’s General Data Protection Regulation (GDPR) is a common set of guidelines to control and protect Personally Identifiable Information (PII) and it brings

Barnboken. Hur används den i förskolan?

Pedagogerna menar att det skall finnas möjlighet för barnen att kunna krypa upp med en bok i en soffa eller en lugn vrå för en stunds avkoppling och kunna njuta av en bok, antingen

Miljöinformation - så används den av finansanalytikerna

Detta anser vi inte utgör något problem eftersom vi i studien syftade efter att skapa förståelse för vilken av företagens presenterade miljöinformation som