Rådgör med ditt dataskyddsombud. Du slipper att göra konsekvensbedömning av behandlingar som kontrollerats av ett dataskyddsombud och som inte ändrats sedan föregående kontroll.
Av artikel 35.1 i dataskyddsförordningen följer att den personuppgiftsansvarige ska utföra en konsekvensbedömning om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömning ska göras om den planerade behandlingen uppfyller minst två av följande kriterier, det vill säga;
1. Utvärderar eller poängsätter människor, till exempel ett företag som erbjuder genetiska tester till konsumenter för att bedöma och förutse risker för sjukdomar, ett kreditupplysningsföretag eller ett företag som profilerar internetanvändare.
2. Behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den registrerade.
3. Systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer.
4. Behandlar känsliga personuppgifter enligt artikel 9 eller uppgifter som är av mycket personlig karaktär, till exempel ett sjukhus som lagrar patientjournaler, ett företag som samlar in lokaliseringsuppgifter eller en bank som hanterar finansiella uppgifter.
5. Behandlar personuppgifter i stor omfattning.
6. Kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad de registrerade rimligen kunnat förvänta sig, till exempel när man samkör register.
7. Behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, till exempel barn, anställda, asylsökande, äldre och patienter.
8. Använder ny teknik eller nya organisatoriska lösningar, till exempel "Internet of things".
9. Behandlar personuppgifter i syfte att hindra registrerade från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån.
En behandling kan uppfylla två eller flera av ovanstående kriterier men den personuppgifts-ansvarige kan ändå göra bedömningen att den "sannolikt inte leder till en hög risk". I sådana situationer bör den personuppgiftsansvarige motivera och dokumentera anledningarna till att en konsekvensbedömning inte utförs och inkludera dataskyddsombudets synpunkter.
Det krävs inte någon konsekvensbedömning för behandlingar som har kontrollerats av en tillsynsmyndighet eller ett dataskyddsombud och vars genomförande inte har ändrats sedan föregående kontroll. Som en god praxis bör dock en konsekvensbedömning ses över kontinuerligt och utvärderas regelbundet.
