/Start/Aktuellt/Nyhetsbrev/Update - Tech, augusti 2017

Behöver ditt företag göra en konsekvensbedömning?

update tech setterwalls

Bakgrund

Den 25 maj 2018 börjar den nya dataskyddsförordningen (GDPR) att tillämpas, vilket innebär skärpta sanktioner och flera nya regler inom personuppgiftsområdet. En av nyheterna i GDPR är reglerna om konsekvensbedömningar. I en konsekvensbedömning gör företaget en riskanalys avseende viss personuppgiftsbehandling, innefattande vilka åtgärder som kan vidtas för att minska eventuella risker. Flera internationella tillsynsmyndigheter har utformat riktlinjer avseende vad bedömningen ska innehålla och hur den ska utföras. Om det inte går att minska riskerna på ett tillfredsställande sätt ska tillsynsmyndigheten (för svensk del Datainspektionen) rådfrågas innan behandlingen påbörjas. I praktiken vill man inte hamna i en situation där Datainspektionen behöver rådfrågas, då detta betyder att man inte lyckats begränsa riskerna med den planerade behandlingen i tillfredsställande grad.

En konsekvensbedömning ska utföras om behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”. För att tydliggöra när kravet på konsekvensbedömning föreligger publicerade EU:s Artikel 29-grupp, ett samlingsorgan för EU:s dataskyddsmyndigheter, i april ett utkast till riktlinjer för konsekvensbedömningar. Riktlinjerna anger kriterier som ska fungera som ett stöd när de nationella tillsynsmyndigheterna upprättar en förteckning över de behandlingar som omfattas av kravet på konsekvensbedömning.

Behandlingar som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter

Enligt riktlinjerna ska, som utgångspunkt, en konsekvensbedömning göras om två eller flera av följande kriterier är uppfyllda för en viss personuppgiftsbehandling:

-          Behandlingen innehåller moment av utvärdering eller profilering. Som exempel nämns banker som utför automatiserade kreditbedömningar och företag som bygger marknadsföringsprofiler baserade på Internetanvändares beteende på företagets hemsida.

-          Behandlingen innefattar automatiserat beslutsfattande, exempelvis genom automatisk gallring av kandidater i en rekryteringsprocess.

-          Behandlingen utgör systematisk övervakning, vilket bland annat blir aktuellt vid kameraövervakning på allmän plats.

-          Behandlingen innefattar känsliga personuppgifter, där känsliga personuppgifter innefattar bland annat hälsouppgifter och biometriska- eller genetiska uppgifter, men också finansiell information och annat som är särskilt integritetskänsligt.

-          Storskalig personuppgiftsbehandling. Vid bedömningen om behandlingen är storskalig tas särskild hänsyn till antalet individer som berörs, mängden personuppgifter, varaktigheten och den geografiska omfattningen.

-          Behandlingen innefattar en kombination eller samkörning av personuppgiftsregister, exempelvis vid behandling av personuppgifter som är insamlade för olika syften och härrör från två eller flera källor.

-          Behandling av personuppgifter som avser skyddsvärda persongrupper, dvs. där det inte råder maktbalans mellan den registrerade personen och den personuppgiftsansvarige (exempelvis i relation till anställda, barn, patienter och äldre).

-          Behandling av personuppgifter på ett innovativt sätt eller med användning av ny teknik, exempelvis Internet of Things-utrustning (som kan ha stor inverkan på personers dagliga liv och integritet).

-          Överföring av personuppgifter till land utanför EU.

-          Behandling som hindrar personer från att utöva en rättighet, använda en tjänst eller ingå ett avtal, såsom genom att nekas banklån baserad på automatisk kreditbedömning.

Om en behandling av personuppgifter uppfyller minst två av kriterierna ovan menar Artikel 29-gruppen att det i allmänhet föreligger en hög risk och en konsekvensbedömning ska därmed utföras. Ett exempel som sannolikt omfattas är forskningsverksamhet, eftersom sådan innefattar känsliga personuppgifter och moment av utvärdering eller profilering samt ofta berör skyddsvärda persongrupper. Ett annat exempel är kreditupplysningsverksamhet, eftersom sådan innefattar behandling av uppgifter i stor skala, moment av utvärdering och profilering samt samkörning av personuppgiftsregister.

Råd till företag som träffas av skyldigheten att göra en konsekvensbedömning

Genom en korrekt utförd konsekvensbedömning belyser företaget vilka konsekvenser behandlingen av personuppgifter kan få och vilka åtgärder som vidtagits för att minska riskerna med behandlingen. Avsaknad av konsekvensbedömning eller brister i bedömningen kan, när en sådan krävs enligt GDPR, leda till sanktionsavgifter på upp till det högre av EUR 10 miljoner eller två procent av bolagets globala omsättning.

I riktlinjerna anges att någon konsekvensbedömning inte behöver utföras för behandling som påbörjats före den 25 maj 2018. Däremot måste behandling som påbörjas därefter, och som medför hög integritetsrisk, vara föremål för en konsekvensbedömning. Detsamma gäller nu existerande behandlingar som förändras i syfte eller omfattning efter att GDPR börjar tillämpas. Artikel 29-gruppen rekommenderar dessutom att all existerande personuppgiftsbehandling utvärderas var tredje år. Vet man med sig att man ägnar sig åt behandling som kommer att anses som konsekvensbedömningspliktig under GDPR är vårt råd därför att redan nu upprätta en konsekvensbedömning. Denna kan sedan uppdateras löpande vid förändringar i företagets personuppgiftsbehandling. På så sätt effektiviseras arbetet när man vill förändra existerande behandlingar, eller påbörja nya aktiviterer som innefattar personuppgifter, under GDPR.

Vi tar fram konsekvensbedömningar i nära samarbete med våra klienter, och hjälper gärna även er att fastställa om en konsekvensbedömning behövs samt säkerställa att dokumentet i så fall uppfyller de krav som ställs.

Vill du veta mer? Kontakta oss gärna.

Carl-Johan Bune                                      Marcus Svensson

  1. 1. 2017-09-13
    Setterwalls "byter kostym"
    Snart är det dags. För att bättre spegla vem vi är, är det snart dags för oss att "byta kostym". Håll ögonen öppna!
  2. 2. 2017-08-31
    Update - Offentlig upphandling, september 2017
    Kanada öppnar upp ny marknad för svenska företag
  3. 3. 2017-08-18
    Open source software – how to carry out the due diligence
    There are many ways to ensure that the legal and technical risks with open source components are minimized. When investing in or acquiring FinTech companies, one critical part...
  4. 4. 2017-08-14
    Update - Finansmarknad, augusti 2017
    Ny lag – Många juridiska personer måste anmäla verklig huvudman till Bolagsverket.
  5. 5. 2017-07-07
    Update - Offentlig upphandling/Life Sciences, juli 2017
    Rapport från Almedalen - Kan offentlig upphandling av e-hälsotjänster och vårdinformationssystem lösa vårdens utmaningar?
  6. 6. 2017-07-03
    Update - Skatterätt juli 2017
    I förra nyhetsbrevet kommenterade vi att Högsta förvaltningsdomstolen (HFD) den 20 juni 2017 fastställt Skatterättsnämndens förhandsbesked den 21 december 2016 om att styrelse...
  7. 7. 2017-06-22
    Update - Skatterätt nr 2 juni 2017
  8. 8. 2017-06-21
    Nya skatteregler för företagssektorn
  9. 9. 2017-06-14
    Report - FinTech, June 2017
    In addition to our previous Setterwalls Reports, we are pleased to present yet another aspect of our FinTech Report, in which members of the Setterwalls FinTech team comment o...
  10. 10. 2017-06-14
    Update - Offentlig upphandling, juni 2017
    Nya regler om arbetsrättsliga kontraktsvillkor i upphandlingar Den 1 juni 2017 kompletterades LOU, LUF och LUK [1] med regler om att upphandlingar över tröskelvärdena ska inne...