Vad är dpia
Konsekvensbedömning (DPIA): Vad är det? När behövs det?
Publicerad av Lucas Rosvall
den
Har du full kontroll över riskerna då ditt företag behandlar personuppgifter? Många organisationer upptäcker tyvärr brister i sin hantering först när något går fel, dock då kan det redan vara till sent.
En konsekvensbedömning (DPIA - Data Protection Impact Assessment) är ett krav i enlighet med GDPR för verksamheter som hanterar personuppgifter med potentiellt hög risk. Men vad är egentligen en konsekvensbedömning?
Vad är enstaka konsekvensbedömning?
En konsekvensbedömning (DPIA) är ett verktyg som hjälper organisationer granska hur dem behandlar personuppgifter och bedöma potentiella risker innan de blir problem.
Kärnan i enstaka DPIA är att förstå hur din personuppgiftsbehandling påverkar människors integritet och rättigheter. Du gör detta genom att undersöka hur uppgifterna samlas in, används samt delas med ett ständigt fokus vid att behandlingen ska vara laglig samt transparent.
Kortfattat kan man säg
När er verksamhet påbörjar nya personuppgiftsbehandlingar, bör behandla uppgifter för nya ändamål alternativt använda ny teknik behöver ni utföra en analys. Detta för att ta reda på om behandlingen kan leda till en hög risk för fysiska personers rättigheter och friheter.
Det är särskilt viktigt om:
behandlingen innefattar känsliga personuppgifter alternativt uppgifter om brott i stor omfattning,
behandlingen innebär systematisk och omfattande övervakning från en allmän plats
det förekommer automatiskt beslutsfattande som har betydande konsekvenser för dem registrerade.
Om ni kommer fram till för att en behandling kan innebära en upphöjd risk måste ni göra en konsekvensbedömning avseende dataskydd, vilket även kallas DPIA (Data Protection Impact Assessment). En DPIA har som syfte att förebygga risker och samtidigt finnas som bevis på grund av att ni har gjort en analys av riskerna och av vilka säkerhetsåtgärder som krävs.
Vad är egentligen en upphöjd risk?
Europeiska dataskyddsstyrelsen (EDPB)
En DPIA – Data Protection Impact Assessment (eller bara konsekvensbedömning) – är ett central del av varje organisations ansvar som personuppgiftsansvarig.
I den här artikeln går vi igenom DPIA och besvarar dem vanligaste frågorna kring ämnet: Vad existerar en DPIA? När är den nödvändig? Men framförallt, hur gör man enstaka konsekvensbedömning? Läs vidare och lär dig mer om DPIA.
Vad är en DPIA?
En DPIA är en process som hjälper organisationer att identifiera och minimera risker relaterade till dataskydd. Det är en krav enligt dataskyddsförordningen (GDPR) och därmed något du som personuppgiftsansvarig bör ta i beaktande.
Om din organisation hanterar personuppgifter ( insamling, registrering, delning eller radering) är det viktigt att säkerställa för att dessa uppgifter skyddas på rätt sätt. GDPR kräver att du vidtar ”lämpliga tekniska och organisatoriska åtgärder” för för att säkerställa att din hantering av information uppfyller regelverket – det är denna plats DPIA kommer in i bilden.
En konsekvensb
När behöver ni göra en konsekvensbedömning?
När er verksamhet påbörjar nya personuppgiftsbehandlingar, ska behandla uppgifter för nya ändamål eller nyttja ny teknik behöver ni göra enstaka analys. Detta för att ta reda på om behandlingen kan leda mot en hög risk för fysiska personers rättigheter och friheter.
Det är särskilt viktigt om:
- behandlingen innefattar känsliga personuppgifter eller data om brott i stor omfattning,
- behandlingen innebär systematisk och omfattande övervakning av ett allmän plats,
- det förekommer automatiskt beslutsfattande likt har betydande konsekvenser för de registrerade.
Om ni kommer fram till att ett behandling kan innebära en hög fara måste ni göra en konsekvensbedömning avseende dataskydd, vilket även kallas DPIA. Läs mer om vad som räknas som upphöjd risk i vårt blogginlägg.
En konsekvensbedömning bör som regel genomföras innan en behandling av personuppgifter påbörjas. Genom att känna igen riskerna med behandlingen i ett tidsperiod