Regelefterlevnad
DPIA (Dataskyddskonsekvensbedömning)
Vad är DPIA?
DPIA (Data Protection Impact Assessment), på svenska konsekvensbedömning avseende dataskydd, är en process enligt artikel 35 i GDPR. En DPIA används för att i förväg identifiera och hantera risker när en behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.
När krävs en DPIA?
- Systematisk och omfattande utvärdering: Exempelvis profilering som ligger till grund för beslut med rättsverkningar.
- Storskalig behandling av känsliga uppgifter: Hälsodata, biometri eller uppgifter om brott.
- Systematisk övervakning av allmänna platser: Exempelvis kamerabevakning i stor skala.
- Ny teknik: Användning av AI, automatiserat beslutsfattande eller andra innovativa lösningar med hög integritetspåverkan.
IMY publicerar en förteckning över behandlingar som alltid kräver en DPIA.
Innehåll i en DPIA
- Systematisk beskrivning av behandlingen och dess ändamål.
- Bedömning av nödvändighet och proportionalitet.
- Riskbedömning för registrerades rättigheter och friheter.
- Planerade åtgärder för att hantera riskerna.
När den kvarstående risken bedöms vara hög ska organisationen samråda med IMY innan behandlingen påbörjas. Dataskyddsombudet ska konsulteras under hela processen.