En personuppgiftsbehandling som sannolikt medför en hög risk för den registrerades integritet måste föregås av en konsekvensbedömning. Den engelska förkortningen som ofta förekommer är DPIA = Data Protection Impact Assessment.

Observera att först av allt ska det finnas en rättslig grund för att behandlingen ska få genomföras). Det finns ingen anledning till att genomföra en konsekvensbedömning om behandlingen inte får påbörjas.

Syfte med bedömningen är att:

• förebygga risker innan de uppkommer
• att bedöma om personuppgifterna som samlas in är nödvändiga för ändamålet
• att bedöma om den personuppgiftsansvarige har vidtagit tillräckliga åtgärder för att skydda den registrerades integritet och rättigheter.

En konsekvensbedömning beskriver syftet med personuppgiftsbehandlingen och de risker som kan uppstå för den vars personuppgifter behandlas. Konsekvensbedömningen är ett sätt för den personuppgiftsansvarige att påvisa sin efterlevnad.

När ska en konsekvensbedömning genomföras?

En konsekvensbedömning ska genomföras innan vi påbörjar en ny personuppgiftsbehandling som medför hög risk för den registrerades integritet, vid pågående behandlingar som inte konsekvensbedömts tidigare, eller vid pågående behandlingar där risken ändrats.

Integritetsskyddsmyndigheten har tagit fram en lista på när en konsekvensbedömning ska göras. Listan är inte uttömmande. Det kan alltså finnas ytterligare fall där en konsekvensbedömning måste göras. 

Om konsekvensbedömningen visar att tillräckliga åtgärder inte kan vidtas för att påbörja behandlingen kan ett Förhandssamråd bokas in på Integritetsskyddsmyndigheten.

Riktlinjer för DPIA (Europeiska dataskyddsstyrelsen, EDPB) 

Integritetsskyddsmyndighetens information om konsekvensbedömning: