Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Konsekvensbedömning och förhandssamråd

     

    Vad säger regelverket?

    En konsekvensbedömning är en process avsedd att:

    • beskriva en kritisk behandling,
    • bedöma huruvida den är nödvändig och proportionell,
    • hjälpa till att hantera risker för fysiska personers rättigheter och friheter som uppkommer genom behandlingen av personuppgifter genom att bedöma dem och bestämma vilka åtgärder som ska vidtas.

    I vissa situationer ska församlingar och pastorat göra konsekvensbedömningar. Sådana ska påbörjas innan den kritiska behandlingen påbörjas (gör det så tidigt som möjligt även om inte alla fakta är kända), men märker man att man har en pågående behandling som uppfyller kraven får man förstås göra den i efterhand. Att göra en konsekvensbedömning när det krävs är ett ska-krav i förordningen. När en konsekvensbedömning är gjord kan man behöva då och då följa upp innehållet för att bedöma om det fortsatt är relevant.

    Om man efter en konsekvensbedömning bedömer att det finns kvarvarande risker för de registrerade kan man ibland behöva inleda ett förhandssamråd med Datainspektionen, se nedan. Även detta är ett krav som måste iakttas. 

    Att underlåta att göra konsekvensbedömningar eller förhandssamråd kan leda till sanktioner (maxbeloppet för detta är 10 miljoner euro eller 2 procent av den globala årsomsättningen). Datainspektionen kan utkräva sanktionsavgifter till exempel om församlingen/pastoratet

    • inte gör konsekvensbedömning när en planerad behandling sannolikt leder till en hög risk,
    • gör konsekvensbedömningar på fel sätt, t.ex. utan att rådfråga dataskyddsombudet eller utan att ta med en beskrivning av behandlingen, dess proportionalitet, risker och åtgärder för att hantera riskerna,
    • inte samråder med Datainspektionen före behandlingen när konsekvensbedömningen visar att behandlingen skulle leda till en hög risk om inte åtgärder vidtas för att minska risken.

    Kriterier för konsekvensbedömning

    Datainspektionen har fastställt kriterier för när organisationer är om vissa kriterier är uppfyllda och inga undantag föreligger tvungna att genomföra en konsekvensbedömning i en förteckning. En konsekvensbedömning ska enligt förteckningen oftast göras om den planerade behandlingen uppfyller två eller fler av följande nio kriterier (av dessa föreligger kriterium nr 4 och 7 i stor utsträckning för församlingar och pastorat):

    1. När en organisation utvärderar eller poängsätter människor. Datainspektionen ger här exemplet ett företag som profilerar internetanvändare. Församlingar/pastorat bör därför tänka på att plattformsföretag som Google (som tillhandahåller sökmotorer) och sociala medieföretag som Facebook använder profilering som affärsmetod – betalar man dem för att få bättre genomslag för annonser (t.ex. genom att sponsra inlägg) eller liknande kan det passa in i detta kriterium.

    2. När organisationen behandlar personuppgifter för att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den registrerade. Detta torde inte så ofta förekomma men kan bli aktuellt om församlingen/pastoratet anlitar någon för att testa personer inför en eventuell anställning. Ta därför reda på om er tilltänkta samarbetspartner använder metoder som att gallra ansökningar automatiskt efter vissa kriterier och utan att en människa är inblandad i bedömningen. 

    3. När organisationen systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer. Om församlingen/pastoratet överväger kameraövervakning är det bra att först göra en konsekvensbedömning. Här finns också en särskild lagstiftning att följa som Datainspektionen har tillsyn över.

    4. När organisationen behandlar känsliga personuppgifter eller andra uppgifter som är av mycket personlig karaktär. Detta är givetvis en kritisk punkt för församlingar och pastorat eftersom det är mycket vanligt i kärnverksamheten. Förutom uppgifter som kan avslöja religiös tillhörighet finns mängder av hälsorelaterade personuppgifter. Utöver de känsliga personuppgifterna förekommer också andra uppgifter av mycket personlig karaktär inte sällan i verksamheten.
      Personuppgifter av mycket personlig karaktär kan enligt Datainspektionen vara
    • uppgifter om hushållet och privat verksamhet, till exempel elektronisk kommunikation
    • uppgifter som påverkar utövandet av en grundläggande rättighet, till exempel lokaliseringsuppgifter som kan göra att den fria rörligheten ifrågasätts
    • finansiella uppgifter som skulle kunna användas för betalningsbedrägeri
    • uppgifter såsom personliga dokument, e-postmeddelanden, dagböcker, kommentarer från läsplattor som är utrustade med kommentarfunktioner och mycket personlig information i applikationer som registrerar aktiviteter.
      Självklart ingår här även personuppgifter om lagöverträdelser i denna punkt. 

    5. När en organisation behandlar personuppgifter i stor omfattning. En exakt beskrivning av begreppet finns inte men här kan det vara bra att ha i åtanke att system som Kbok och Kyrksam innehåller väldigt många människors personuppgifter. Datainspektionen rekommenderar att man beaktar följande:

    • hur många som är registrerade, antingen som ett exakt antal eller som en andel av den berörda befolkningsgruppen,
    • hur mycket och vilka typer av personuppgifter som behandlas,
    • hur länge personuppgifterna behandlas,
    • inom hur stort geografiskt område de registrerade finns.

    6. När en organisation kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad de registrerade rimligen kunnat förvänta sig, till exempel när man samkör register.

    7. När organisationen behandlar personuppgifter om utsatta registrerade (personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara). Till denna grupp räknas bland annat barn, anställda, sjuka, asylsökande och äldre. Även detta kriterium kan ofta röra kyrkans verksamhet.

    8. När organisationen använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (kallas ibland också Internet of things).

    9. När organisationen behandlar personuppgifter i syfte att hindra registrerade från att få tillgång till en tjänst eller ingå ett avtal.  De exempel som Datainspektionen ger är när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån eller inte.

    Datainspektionen ger några exempel på när myndigheten anser att en konsekvensbedömning ska göras baserat på de nio kriterierna ovan. Följande kan vara av särskilt intresse för församlingar och pastorat:

    • Ett företag använder kunders lokaliseringsuppgifter, som till exempel inhämtas via en mobilapp, i syfte att rikta marknadsföring till kunden eller planera sina marknadsföringsstrategier (kriterium 3 och 4).
    • Ett företag inhämtar uppgifter från sociala medier för att profilera fysiska personer och därefter rikta marknadsföring till vissa utvalda grupper (kriterium 1 och 3).
    • En sökmotor på internet samlar in uppgifter om enskilda som använder tjänsten för att skapa kundprofiler och rikta marknadsföring (kriterium 1 och 3).
    • En organisation inför ett gemensamt system i vilket det är möjligt att anmäla missförhållanden på arbetsplatsen – ett s.k. visselblåsarsystem (kriterium 4 och 7).  
    • Rekryteringsföretag som inrättar kandidat- eller kompetensdatabaser (kriterium 1 och 4).
    • Verksamheter som utför bakgrundskontroller inför rekryteringar (kriterium 1, 4 och 6).
    • En arbetsgivare övervakar systematiskt hur de anställda använder internet och e-post (kriterium 3 och 7).
    • Behandling av barns personuppgifter i skolverksamhet, om det är ett större antal registrerade (kriterium 5 och 7).

    Fler exempel finns i Datainspektionens förteckning som fortlöpande kan komma att uppdateras med fler kriterier eller fler exempel.

    Undantag från kravet på konsekvensbedömning

    Det räcker dock inte att sätta sig in i de nio punkterna o van. Att utföra en konsekvensbedömning enligt punkterna är obligatoriskt endast om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Detta är givetvis en svår avvägning att göra så vid osäkerhet är det bättre att göra en än att låta bli. Dataskyddsombudet kan tillfrågas rörande detta.

    Datainspektionen beskriver också några andra undantag:

    Det krävs inte någon konsekvensbedömning för behandlingar som har kontrollerats av en tillsynsmyndighet eller ett dataskyddsombud i enlighet med artikel 20 i direktiv 95/46/EG och vars genomförande inte har ändrats sedan föregående kontroll. Som en god praxis bör dock en konsekvensbedömning ses över kontinuerligt och utvärderas regelbundet.   
    Om en behandling enligt artikel 6.1 c eller e har en rättslig grund i EU-rätten eller svensk lag, om denna lagstiftning reglerar den specifika behandlingsåtgärden och om en konsekvensbedömning har genomförts som en del av fastställandet av denna rättsliga grund, krävs som utgångspunkt inte någon ytterligare konsekvensbedömning enligt artikel 35.10. En bedömning som görs under utarbetandet av lagstiftningen kan dock behöva ses över om den antagna lagstiftningen skiljer sig från förslaget på  sätt som påverkar integriteten och frågor som rör uppgiftsskydd.  

    Flera personuppgiftsansvariga kan samarbeta om en konsekvensbedömning. Man kan här kontrollera om det finns en liknande konsekvensbedömning gjord av annan personuppgiftsansvarig rörande behandlingen. Då är det inte säkert man behöver inte göra en ny om den är fullt relevant för det man själv gör eller planerar att göra.

    Hur genomförs en konsekvensbedömning?

    Konsekvensbedömningar bör innehålla följande moment. När du arbetar med dem har du hjälp av den mall vi tagit fram. I den mallen finns också en bild på de olika stegen nedan, som visar att stegen ska hanteras i en cyklisk process.
    Steg 1. Identifiera om det finns behov av att göra en konsekvensbedömning med utgångspunkt från förteckningen.  Om detta är fallet, gå till steg 2. Samråd gärna med dataskyddsombudet. Datainspektionen anger att en bra praxis är att motivera och dokumentera anledningarna till att en konsekvensbedömning inte utförs och inkludera dataskyddsombudets synpunkter.
    Steg 2. Föreligger något undantag ? Om detta inte är fallet, gå till steg 3. Samråd gärna med dataskyddsombudet. Även i detta fall är det bra att motivera hur församlingen/pastoratet tänkt.
    Steg 3. Genomför konsekvensbedömningen enligt mallen. Den är tänkt för behandlingar som inte påbörjats, men upptäcker församlingen/pastoratet att man har en pågående behandling som kräver hantering kan man göra en konsekvensbedömning i efterskott (samma mall fungerar). Tänk på att syftet med konsekvensbedömningen är att minska riskerna för registrerade och se till att väga olika intressen mot varandra. Det krävs en omfattande utredning för detta. Från och med detta steg ska dataskyddsombudet delta.
    Exempel på åtgärder som församlingar och pastorat kan använda för att hantera risker är enligt Datainspektionen:

    • autentisering,
    • kryptering,
    • rutiner och tydlig information om säkerhet till systemets användare,
    • logg över vem som använder personuppgifter,
    • stöd för säkerhetskopiering,
    • pseudonymisering av personuppgifter,
    • öppen redovisning av personuppgifternas syfte och behandling,
    • möjlighet för den registrerade att övervaka uppgiftsbehandlingen,
    • minska antalet personer som har tillgång till uppgifterna,
    • begränsa sökbegreppen så att det inte går att söka på känsliga personuppgifter,
    • införa automatisk borttagning av personuppgifter som inte längre ska behandlas,
    • utforma it-systemen så att inte fler personuppgifter än nödvändigt behandlas, det vill säga inbyggt dataskydd och dataskydd som standard (detta torde främst vara en fråga för nationell nivå om den blir aktuell).

    I steg 3 är det obligatoriskt att ha med dataskyddsombudet. Hen ska inte ansvara för konsekvensbedömningen men ge råd och stöd samt övervaka tillämpningen av regelverket. Tänk också på att involvera representanter för de registrerade. Ett bra och energirikt sätt att göra detta kan vara att anordna en workshop där deltagare med olika kunskaper deltar (i den kan också registrerade eller åtminstone anställda som ofta möter registrerade i vardagen medverka). Datainspektionen ger utöver detta följande tips på tillvägagångssätt vilket församlingen/pastoratet kan ha nytta av i arbetet med mallen:

    Det kan vara lämpligt att fråga de registrerade, som en del av konsekvensbedömningen, om vilka möjliga risker och konsekvenser de ser med personuppgiftsbehandlingen.
    Beroende på hur personuppgiftsbehandlingen är planerad att fungera, så kan man fråga på olika sätt. I vissa fall är det lämpligt med en enkät till allmänheten, ibland kan det vara bra att rådgöra med fackliga företrädare. För en skola kan det vara lämpligt att rådgöra med elevernas vårdnadshavare.

    Om den personuppgiftsansvarige och de registrerade inte har samma syn på personuppgiftsbehandlingen, ska det dokumenteras. Det är särskilt viktigt om ni väljer att gå vidare med personuppgiftsbehandlingen.

    Om den personuppgiftsansvarige väljer att inte inhämta synpunkter från de registrerade, ska ni dokumentera även det. Kanske är det inte lämpligt för att det skulle äventyra företagets affärsplaner, innebära oproportionerligt mycket arbete eller vara ogenomförbart av andra skäl. 

    Kraven på konsekvensbedömningar är höga, så det som sägs i sista stycket ovan kan inte användas slentrianmässig utan måste motiveras noga. Datainspektionen har gjort följande uttalande i ett beslut där en skola fick en sanktion för att den inte genomför en konsekvensbedömning korrekt:

    Av artikel 35.7 i dataskyddsförordningen framgår att åtminstone följande ska tas upp i en konsekvensbedömning. En systematisk beskrivning av den planerade behandlingen och behandlingens syften, en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena, en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

    Steg 4. Klarar man inte av att få ner risken behöver man göra ett förhandssamråd, se nedan. Att gå in med ett sådant är en komplex åtgärd. Det är därför bra att göra allt man kan för att minimera riskerna och om det inte går överväga att inte genomföra behandlingen. Här kan också vara bra att inhämta synpunkter från en stiftsjurist, som en del i den slutliga utredningen. 
    Steg 5: Det är rekommenderbart att följa upp konsekvensbedömningar fortlöpande, så den framtagna mallen innehåller också ett sådant steg samt en ruta för versionshantering. På så sätt har man koll på att något nytt inte påverkar bedömningen och man lär sig också förstå om man tidigare gjort relevanta riskbedömningar. Steg 5 kan aktualiseras efter både steg 3 och 4 vilket framgår av bilden i mallen.

    Förhandssamråd

    Skyldigheten att begära förhandssamråd hos Datainspektionen uppstår om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk och denna risk inte kan avhjälpas genom att den personuppgiftsansvarige församlingen/pastoratet vidtar lämpliga åtgärder för att minska risken:
    Följande från Datainspektionen kan vara bra att ha med sig när man överväger åtgärden:

    Innan ni begär förhandssamråd ska ni ha gjort en gedigen konsekvensbedömning som är väl dokumenterad. Ni ska också kunna redogöra för vilka risker som kvarstår och varför ni inte kunnat åtgärda dem. Dokumentationen av konsekvensbedömningen ska bifogas i er begäran om förhandssamråd.

    Då frågan om samråd är ingripande bör man fatta beslut i kyrkorådet om åtgärden, om det inte finns en tydlig delegation till kyrkoherden eller annan. Väljer man att fortsätta en behandling trots kvarvarande hög risk är det ett ska-krav att inge samrådet. Datainspektionen har flera möjligheter att agera på ett samråd och har också rätt att fatta andra beslut i samband med att ärendet prövas. 

    Även efter ett förhandssamråd kan det vara bra att följa upp beslutet. Detta görs i steg 5 i mallen.

    Dataskyddsombudets roll

    Dataskyddsombud förutsätts arbeta riskbaserat och fortlöpande ge råd till kyrkoråd, kyrkoherde och församlingens dataskyddsansvariga. Sköter man detta på ett bra sätt (med kontrollplaner och rapporter som dras för kyrkorådet) kommer arbetet med konsekvensbedömningar att underlättas eftersom det i dessa kan finnas bra underlag att utgå ifrån. Det är därför viktigt att säkerställa att dataskyddsombud har rätt kompetens för sitt uppdrag. Behövs ytterligare utbildning eller kompetenshöjande insatser måste det genomföras. Det finns vissa lästips, här till höger, man kan börja med.
    I en konsekvensbedömning är det bra att tidigt involvera dataskyddsombudet. Från steg 3, i konsekvensbedömningen ovan är det obligatoriskt att involvera dataskyddsombudet. 

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2021-08-19
    X
    Dokumentid: 1490820- Webid: 28950 - Unitid: 14