DPIA (Data Protection Impact Assessment), på svenska konsekvensbedömning avseende dataskydd, är en process enligt artikel 35 i GDPR. En DPIA används för att i förväg identifiera och hantera risker när en behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.
När krävs en DPIA?
Systematisk och omfattande utvärdering: Exempelvis profilering som ligger till grund för beslut med rättsverkningar.
Storskalig behandling av känsliga uppgifter: Hälsodata, biometri eller uppgifter om brott.
Systematisk övervakning av allmänna platser: Exempelvis kamerabevakning i stor skala.
Ny teknik: Användning av AI, automatiserat beslutsfattande eller andra innovativa lösningar med hög integritetspåverkan.
IMY publicerar en förteckning över behandlingar som alltid kräver en DPIA.
Innehåll i en DPIA
Systematisk beskrivning av behandlingen och dess ändamål.
Bedömning av nödvändighet och proportionalitet.
Riskbedömning för registrerades rättigheter och friheter.
Planerade åtgärder för att hantera riskerna.
När den kvarstående risken bedöms vara hög ska organisationen samråda med IMY innan behandlingen påbörjas. Dataskyddsombudet ska konsulteras under hela processen.