Dataskydd

Konsekvensbedömning GDPR: mall för DPIA

Konsekvensbedömning mall enligt GDPR: en komplett DPIA-struktur efter IMY:s och EDPB:s förväntningar, med riskmatris, åtgärder och ett färdigt räkneexempel.

Also available in:Français·Deutsch

En konsekvensbedömning (DPIA) enligt artikel 35 GDPR ska följa en fast struktur: en systematisk beskrivning av behandlingen, en bedömning av nödvändighet och proportionalitet, en riskanalys för de registrerades rättigheter och de åtgärder ni vidtar för att hantera riskerna. Den här sidan ger en färdig mall byggd på IMY:s och Europeiska dataskyddsstyrelsens förväntade innehåll, med en riskmatris och ett genomarbetat exempel: införande av GPS-spårning i tjänstebilar. Vill du veta när en DPIA är obligatorisk snarare än hur mallen ser ut, läs vår guide till konsekvensbedömning enligt art. 35.

Sammanfattning

  • En DPIA ska innehålla fyra delar enligt art. 35.7: systematisk beskrivning, nödvändighet/proportionalitet, riskbedömning och åtgärder.
  • Riskerna bedöms längs två axlar – sannolikhet och allvarlighetsgrad – i en matris.
  • Dataskyddsombudets yttrande ska inhämtas (art. 35.2) och dokumenteras i bedömningen.
  • Kvarstår hög risk efter åtgärder ska ni samråda med IMY i förväg (art. 36).

Vad mallen ska innehålla

Artikel 35.7 i dataskyddsförordningen anger minimiinnehållet i en konsekvensbedömning. Mallen nedan strukturerar dessa krav i sju avsnitt.

Avsnitt Innehåll Lagrum
1. Behandlingsöversikt Namn, ansvarig, DPO, datum, version Art. 35.7
2. Systematisk beskrivning Ändamål, uppgifter, flöden, mottagare, lagringstid Art. 35.7 a
3. Nödvändighet och proportionalitet Rättslig grund, ändamålsbegränsning, uppgiftsminimering Art. 35.7 b
4. Riskidentifiering Hot mot de registrerades rättigheter Art. 35.7 c
5. Riskmatris Sannolikhet × allvarlighet per risk Art. 35.7 c
6. Åtgärder Tekniska och organisatoriska motåtgärder Art. 35.7 d
7. Slutsats och yttrande Restrisk, DPO:s yttrande, beslut, ev. art. 36 Art. 35.2, 36

Riskmatrisen

Kärnan i en DPIA är riskmatrisen. Varje identifierad risk bedöms utifrån sannolikhet (låg/medel/hög) och allvarlighetsgrad för den registrerade (låg/medel/hög). Produkten ger en risknivå som styr vilka åtgärder som krävs.

Sannolikhet \ Allvarlighet Låg Medel Hög
Hög Medel Hög Kritisk
Medel Låg Medel Hög
Låg Låg Låg Medel

En risk som landar på “Hög” eller “Kritisk” efter åtgärder utlöser förhandssamråd med IMY enligt art. 36.

Räkneexempel: GPS-spårning i tjänstebilar

För att göra mallen konkret, så här kan en ifylld DPIA se ut för införandet av GPS-positionering i ett företags tjänstebilar.

Avsnitt 2 – Systematisk beskrivning: Ändamålet är ruttoptimering och stöldskydd. Uppgifter: fordonets position i realtid, körsträcka, tidsstämplar, kopplade till förare via schemaläggning. Mottagare: transportledning och den externa systemleverantören (personuppgiftsbiträde). Lagringstid: positionsdata gallras efter 90 dagar.

Avsnitt 3 – Nödvändighet: Rättslig grund är berättigat intresse (art. 6.1 f). En intresseavvägning genomförs separat. Positionering under rast eller efter arbetstid utesluts för att uppfylla uppgiftsminimering (art. 5.1 c).

Avsnitt 4–5 – Risker:

Risk Sannolikhet Allvarlighet Nivå
Kartläggning av anställdas rörelsemönster Medel Hög Hög
Positionering utanför arbetstid Medel Hög Hög
Obehörig åtkomst till positionsdata Låg Hög Medel

Avsnitt 6 – Åtgärder: Positionering avaktiveras utanför arbetstid; åtkomst begränsas med behörighetsstyrning; anställda informeras enligt art. 13; data krypteras och gallras efter 90 dagar; frågan förhandlas med facket.

Avsnitt 7 – Slutsats: Efter åtgärder bedöms restrisken som “Medel”. Dataskyddsombudet tillstyrker med förbehåll om årlig omprövning. Förhandssamråd med IMY bedöms inte nödvändigt.

Dataskyddsombudets roll

Enligt art. 35.2 ska den personuppgiftsansvarige inhämta råd från dataskyddsombudet när en DPIA utförs. Ombudets yttrande – tillstyrkan, avstyrkan eller villkorad tillstyrkan – ska dokumenteras i avsnitt 7. Om ni saknar ombud bör en person med motsvarande kompetens fylla rollen och yttrandet dokumenteras på samma sätt. Yttrandet är inte bindande men avvikelser från det bör motiveras skriftligt.

Från mall till levande dokument

En DPIA är inte en engångshandling. Den ska omprövas när behandlingen förändras – nya uppgiftskategorier, ny leverantör eller nytt ändamål. Bedömningen bygger dessutom på underlag från er registerförteckning, där de behandlingar som utlöser DPIA-plikten identifieras, och på de personuppgiftsbiträdesavtal som styr leverantörernas behandling.

Att hantera flera DPIA:er manuellt, med versionshantering och kopplingar till register och avtal, blir snabbt oöverskådligt. En plattform som Legiscope kan generera DPIA-strukturen utifrån registret och påminna om omprövning, vilket gör att bedömningarna hålls aktuella i stället för att bli hyllvärmare. IMY publicerar även sin egen förteckning över behandlingar som kräver konsekvensbedömning som ni bör stämma av mot.

Så använder du varje avsnitt i praktiken

Den vanligaste orsaken till att en DPIA blir verkningslös är att den fylls i mekaniskt, som en blankett, i stället för att fungera som ett analysverktyg. Avsnitt 2, den systematiska beskrivningen, ska vara så konkret att en utomstående förstår exakt vilka uppgifter som flödar vart och varför – inte en generisk beskrivning av systemet, utan de faktiska personuppgiftsflödena. Ett vanligt misstag är att beskriva tekniken i stället för behandlingen: läsaren ska förstå vad som händer med de registrerades uppgifter, inte hur databasen är uppbyggd.

Avsnitt 3, nödvändighet och proportionalitet, är det avsnitt där de flesta bedömningar är svagast. Här ska ni visa att ändamålet inte kan uppnås med mindre integritetskänsliga medel. Frågan “behöver vi verkligen samla in detta?” ska besvaras för varje uppgiftskategori, inte för behandlingen som helhet. Om ni samlar in exakta positioner var tionde sekund men ändamålet är ruttoptimering på dagsbasis, är detta en proportionalitetsbrist som avsnitt 3 ska fånga innan den blir en risk i avsnitt 4.

Riskbedömningen i avsnitt 4–5 ska alltid ta de registrerades perspektiv, inte organisationens. Det är inte er ekonomiska eller ryktesmässiga risk som ska bedömas, utan risken för de personer vars uppgifter behandlas: diskriminering, ekonomisk skada, kartläggning, identitetsstöld eller förlust av kontroll över sina uppgifter. Denna perspektivförskjutning är den enskilt viktigaste skillnaden mellan en DPIA som IMY godtar och en som avfärdas som otillräcklig.

Vanliga fel i konsekvensbedömningar

  • Beskrivning utan riskanalys. Mallen fylls i systematiskt men riskerna bedöms inte konkret för de registrerade.
  • Åtgärder utan koppling till risk. Generella säkerhetsåtgärder listas utan att svara mot de identifierade riskerna.
  • Saknat DPO-yttrande. Art. 35.2 kräver att ombudets råd inhämtas – det glöms ofta.
  • Ingen omprövning. Bedömningen görs en gång och uppdateras aldrig när behandlingen ändras.

Vanliga frågor

Vad är skillnaden mellan denna mall och en guide till art. 35?

Mallen ger den ifyllbara strukturen – rubriker, riskmatris och exempel. Guiden till konsekvensbedömning enligt art. 35 förklarar när en DPIA är obligatorisk, vilka tre trösklar i art. 35.3 som utlöser plikten och hur EDPB:s nio kriterier tillämpas. Använd guiden för att avgöra om ni behöver en DPIA och mallen för att genomföra den.

Måste jag samråda med IMY efter en DPIA?

Bara om bedömningen visar att behandlingen skulle medföra en hög risk trots era åtgärder (art. 36). Då krävs förhandssamråd innan behandlingen påbörjas. Om åtgärderna sänker risken till en acceptabel nivå behövs inget samråd, men bedömningen ska sparas och kunna visas upp.

Hur detaljerad ska riskmatrisen vara?

Varje identifierad risk ska bedömas separat längs sannolikhet och allvarlighetsgrad ur den registrerades perspektiv – inte organisationens. Matrisen ska vara så detaljerad att en utomstående kan förstå varför en viss risknivå landat där den gör och vilken åtgärd som svarar mot den.

Kan flera behandlingar täckas av en enda DPIA?

Ja. Art. 35.1 tillåter att en enda bedömning omfattar flera liknande behandlingar med likartade risker – till exempel samma teknik införd på flera avdelningar. Bedömningen ska då ändå spegla de olika sammanhangen om riskbilden skiljer sig åt.

Slutsats

En konsekvensbedömning är bara verkningsfull om strukturen är komplett: systematisk beskrivning, nödvändighet, riskmatris, åtgärder och DPO-yttrande. Använd mallen ovan och exemplet med GPS-spårning som referens, koppla varje åtgärd till en identifierad risk, och behandla DPIA:n som ett levande dokument som omprövas när behandlingen förändras. Kvarstår hög risk efter åtgärder – samråd med IMY innan ni sätter igång.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →