Dataskydd

Konsekvensbedömning (DPIA) enligt artikel 35 GDPR

Konsekvensbedömning enligt GDPR: när en DPIA är obligatorisk (art. 35), IMY:s förteckning, EDPB:s nio kriterier, metoden och förhandssamråd med IMY.

Also available in:English·Français·Deutsch·Español

En konsekvensbedömning enligt GDPR (DPIA) är obligatorisk när en behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Kravet framgår av artikel 35 i dataskyddsförordningen och du ska genomföra bedömningen innan behandlingen påbörjas. Den här guiden förklarar när en konsekvensbedömning krävs, hur du gör den och när du dessutom måste begära förhandssamråd med IMY. Behöver du en färdig struktur att fylla i finns en separat mall för konsekvensbedömning.

Viktigaste punkterna

  • Artikel 35.1 kräver en DPIA när en behandling sannolikt medför hög risk – bedömningen görs före behandlingen startar.
  • Tre fall är alltid obligatoriska enligt art. 35.3: systematisk profilering, storskalig behandling av känsliga uppgifter, och storskalig systematisk övervakning av allmän plats.
  • IMY publicerar en förteckning över behandlingar som alltid kräver konsekvensbedömning; EDPB:s nio kriterier avgör övriga fall.
  • Om riskerna inte kan mildras till en acceptabel nivå krävs förhandssamråd med IMY enligt artikel 36.

När är en konsekvensbedömning obligatorisk?

Grundregeln i artikel 35.1 är teknikneutral: krävs det när en typ av behandling – särskilt med ny teknik – sannolikt leder till en hög risk. Artikel 35.3 pekar ut tre situationer där en konsekvensbedömning alltid ska göras:

  1. Systematisk och omfattande bedömning av personliga aspekter grundad på automatiserad behandling, inklusive profilering, som utgör grund för beslut med rättsliga följder eller liknande betydande påverkan.
  2. Storskalig behandling av känsliga personuppgifter (art. 9) – till exempel inom hälso- och sjukvården – eller uppgifter om lagöverträdelser (art. 10).
  3. Systematisk övervakning av en allmän plats i stor omfattning – exempelvis kamerabevakning.

Utöver dessa tre publicerar IMY en förteckning enligt artikel 35.4 över behandlingar som alltid kräver en konsekvensbedömning. Den omfattar bland annat biometri för att identifiera personer, behandling av känsliga uppgifter för profilering, och storskalig behandling av uppgifter om barn. Kontrollera alltid IMY:s aktuella förteckning innan du drar slutsatsen att en DPIA inte behövs.

EDPB:s nio kriterier

För behandlingar som inte uttryckligen täcks av listorna ger Europeiska dataskyddsstyrelsens riktlinjer nio kriterier. Ju fler kriterier som är uppfyllda, desto mer sannolikt är det att behandlingen medför hög risk:

Kriterium Exempel
Utvärdering eller poängsättning Kreditbedömning, hälsoprofilering
Automatiserat beslutsfattande med rättslig verkan Automatiskt avslag på ansökan
Systematisk övervakning Kameror, platsspårning
Känsliga uppgifter eller mycket personlig data Hälsa, etnicitet, ekonomi
Storskalig behandling Stort antal registrerade eller volym
Matchning eller kombinering av dataset Sammanförande från flera källor
Uppgifter om sårbara registrerade Barn, anställda, patienter
Ny teknik eller innovativ användning AI, ansiktsigenkänning, IoT
Behandling som hindrar rättighetsutövning Blockerar en tjänst eller ett avtal

Som tumregel: uppfylls två eller fler kriterier bör du genomföra en konsekvensbedömning. Uppfylls bara ett, dokumentera din bedömning av varför behandlingen ändå inte medför hög risk.

Så genomför du en konsekvensbedömning

Artikel 35.7 anger minimiinnehållet. En metodiskt korrekt DPIA innehåller fyra delar:

1. Systematisk beskrivning av behandlingen. Beskriv ändamål, kategorier av registrerade och uppgifter, mottagare, lagringstider och eventuella tredjelandsöverföringar. Underlaget hämtas i praktiken direkt från din registerförteckning – är den ofullständig blir konsekvensbedömningen det också. Ange även den rättsliga grunden enligt artikel 6.

2. Bedömning av nödvändighet och proportionalitet. Är behandlingen nödvändig för ändamålet, eller kan samma resultat nås med mindre ingripande medel? Här prövas dataminimering, lagringsminimering och att den rättsliga grunden faktiskt håller. Proportionalitet handlar om balansen mellan nyttan för organisationen och intrånget för de registrerade – ett litet effektivitetsvinst rättfärdigar sällan en omfattande övervakning.

3. Riskbedömning. Identifiera hoten mot de registrerades rättigheter – obehörig åtkomst, oönskad spridning, felaktiga beslut – och bedöm varje risk utifrån sannolikhet och allvarlighetsgrad. En riskmatris (låg/medel/hög på båda axlarna) gör bedömningen spårbar. Fokus ska ligga på konsekvenserna för individen, inte på affärsrisken för organisationen; en förväxling av dessa två perspektiv är ett av de vanligaste metodfelen.

4. Åtgärder för att hantera riskerna. Beskriv de tekniska och organisatoriska åtgärder som sänker risken: pseudonymisering, kryptering, behörighetsstyrning, avtal och gallringsrutiner. Om leverantörer är inblandade dokumenteras ansvaret i personuppgiftsbiträdesavtalet. Varje kvarvarande risk efter åtgärder – restrisken – ska bedömas uttryckligen, eftersom det är den som avgör om förhandssamråd med IMY behövs.

Enligt artikel 35.2 ska dataskyddsombudets råd inhämtas när ett sådant finns, och ombudet ska övervaka att konsekvensbedömningen genomförs. Om du är osäker på om organisationen behöver ett ombud, se guiden om när ett dataskyddsombud krävs. Konsekvensbedömningen är dessutom inte en engångsprodukt utan en levande handling: artikel 35.11 kräver att den ses över när risken med behandlingen förändras, exempelvis vid byte av leverantör eller ny funktionalitet.

Förhandssamråd med IMY (artikel 36)

Om konsekvensbedömningen visar att behandlingen skulle medföra en hög kvarstående risk trots vidtagna åtgärder, ska du enligt artikel 36.1 rådgöra med IMY innan behandlingen inleds. Detta kallas förhandssamråd. IMY har då upp till åtta veckor (som kan förlängas) på sig att lämna skriftliga råd, och kan i sista hand förbjuda behandlingen.

Förhandssamråd är alltså inget godkännande i förväg för alla riskfyllda behandlingar – det utlöses först när du efter åtgärder fortfarande inte får ner risken till en acceptabel nivå. I praktiken är det en tydlig signal om att behandlingsdesignen behöver ses över innan den går live.

Vanliga misstag

  • Att göra bedömningen för sent. En DPIA som skrivs efter driftsättning fyller ingen preventiv funktion och är formellt fel.
  • Att förväxla den med registerförteckningen. Registret dokumenterar att en behandling sker; konsekvensbedömningen bedömer risken med den.
  • Att sakna en riskmatris. Utan bedömning av sannolikhet och allvar blir riskavsnittet en beskrivning, inte en bedömning.
  • Att inte uppdatera den. Ändras behandlingen väsentligt ska bedömningen revideras (art. 35.11).

Att hålla konsekvensbedömningar levande och kopplade till rätt behandlingar är svårt manuellt när antalet system växer. En plattform som Legiscope länkar varje behandling i registret till dess riskbedömning och åtgärder, så att underlaget finns spårbart vid en tillsyn.

Vanliga frågor

Vad är skillnaden mellan en konsekvensbedömning och en registerförteckning?

Registerförteckningen (art. 30) är en förteckning över alla behandlingar en organisation utför. En konsekvensbedömning (art. 35) är en fördjupad riskanalys av en enskild behandling som sannolikt medför hög risk. Registret är utgångspunkten – DPIA:n är fördjupningen för de behandlingar som kräver det.

Måste alla företag göra en konsekvensbedömning?

Nej. Skyldigheten gäller bara behandlingar som sannolikt medför hög risk. Många små behandlingar kräver ingen DPIA, men bedömningen av att en inte behövs bör dokumenteras så att den kan visas upp vid en tillsyn.

Vad händer om vi struntar i att göra en obligatorisk DPIA?

Att inte genomföra en obligatorisk konsekvensbedömning är i sig en överträdelse av artikel 35 och kan medföra sanktionsavgift enligt artikel 83.4, med upp till 10 miljoner euro eller 2 procent av den globala årsomsättningen som tak.

Vem ansvarar för konsekvensbedömningen?

Den personuppgiftsansvarige ansvarar för att bedömningen genomförs. Dataskyddsombudet ska ge råd och övervaka processen, men bär inte ansvaret. Det operativa arbetet kan delegeras, men beslutet och ansvaret ligger kvar hos den ansvarige.

Slutsats

En konsekvensbedömning är GDPR:s verktyg för att fånga risker innan de realiseras. Den är obligatorisk vid hög risk, alltid i de tre fallen i artikel 35.3, och styrs av IMY:s förteckning och EDPB:s nio kriterier. Metoden är fast: beskriv behandlingen, pröva nödvändigheten, bedöm riskerna och vidta åtgärder – och begär förhandssamråd med IMY om den höga risken kvarstår. Genomförd i tid är den både ett skydd för de registrerade och ett bevis på din efterlevnad. Behandla den inte som en byråkratisk formalitet att bocka av, utan som ett designverktyg: de flesta risker går att bygga bort billigare i planeringsfasen än att åtgärda i efterhand. Den organisation som gör konsekvensbedömningen till en naturlig del av varje nytt projekt slipper välja mellan snabbhet och efterlevnad – den får båda.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →