Gå tillbaka

DPIA (Dataskyddskonsekvensbedömning)

Vad är DPIA?

DPIA (Data Protection Impact Assessment), på svenska konsekvensbedömning avseende dataskydd, är en process enligt artikel 35 i GDPR. En DPIA används för att i förväg identifiera och hantera risker när en behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

När krävs en DPIA?

  • Systematisk och omfattande utvärdering: Exempelvis profilering som ligger till grund för beslut med rättsverkningar.
  • Storskalig behandling av känsliga uppgifter: Hälsodata, biometri eller uppgifter om brott.
  • Systematisk övervakning av allmänna platser: Exempelvis kamerabevakning i stor skala.
  • Ny teknik: Användning av AI, automatiserat beslutsfattande eller andra innovativa lösningar med hög integritetspåverkan.

IMY publicerar en förteckning över behandlingar som alltid kräver en DPIA.

Innehåll i en DPIA

  • Systematisk beskrivning av behandlingen och dess ändamål.
  • Bedömning av nödvändighet och proportionalitet.
  • Riskbedömning för registrerades rättigheter och friheter.
  • Planerade åtgärder för att hantera riskerna.

När den kvarstående risken bedöms vara hög ska organisationen samråda med IMY innan behandlingen påbörjas. Dataskyddsombudet ska konsulteras under hela processen.