När måste företag göra en konsekvensbedömning?

Datainspektionen har tagit fram en förteckning, som beskriver när t ex företag ska göra en konsekvensbedömning innan de börjar att samla in och använda personuppgifter. Det ska göras när det finns en hög risk med sättet att hantera personuppgifterna. Detta framgår av dataskyddsförordningen, GDPR.

En konsekvensbedömning ska bland annat innehålla en inventering av riskerna för de personer vars uppgifter kommer att registreras och de åtgärder som planeras för att hantera riskerna.

Den personuppgiftsansvarige, dvs företaget, måste alltid först göra en självständig bedömning av den planerade behandlingen för att avgöra om en konsekvensbedömning är nödvändig i det enskilda fallet.

Läs mer: Fördjupning i dataskyddfrågor för arbetsgivare får du i Servicepaket Dataskydd

Nio kriterier till grund för konsekvensbedömning

Nio kriterier ligger till grund för bedömningen av om en konsekvensbedömning måste göras. Om minst två av kriterierna är uppfyllda ska en bedömning göras.

Några exempel på behandlingar av personuppgifter inom arbetslivet är följande:

• En arbetsgivare övervakar systematiskt hur de anställda använder internet och e-post.
• En arbetsgivare inför ett inpasseringssystem för anställda som innefattar behandling av biometriska uppgifter i syfte att identifiera en viss fysisk person, t.ex. fingeravtrycksavläsning.
• En organisation inför ett gemensamt system i vilket det är möjligt att anmäla missförhållanden på arbetsplatsen – ett s.k. visselblåsarsystem.
• Rekryteringsföretag som inrättar kandidat- eller kompetensdatabaser.
• Verksamheter som utför bakgrundskontroller inför rekryteringar.

Risk för sanktionsavgift

Var noga med att gå igenom i förväg om företaget behöver göra en konsekvensbedömning eller inte. Den som bryter mot skyldigheten att göra en konsekvensbedömning riskerar att drabbas av en sanktionsavgift.