Home

Dataskyddsbedömning

Dataskyddsbedömning, ofta kallad DPIA, är en systematisk process som följer artikel 35 i allmänna dataskyddsförordningen (GDPR). Den syftar till att bedöma riskerna för enskildas rättigheter och friheter vid behandlingsverksamheter som innebär personuppgifter och att vid behov vidta åtgärder för att minska riskerna.

En DPIA är ett krav när behandlingen sannolikt medför hög risk. Exempel inkluderar systematisk bedömning av

En DPIA ska beskriva behandlingen: syfte, omfattning, kategorier av registrerade, uppgifter som behandlas, rättslig grund, mottagare,

Genomförandet leds av den registeransvarige. I organisationer kan en dataskyddsombud (DPO) vara involverad. DPIA:n bör dokumenteras

DPIA:n hänger ihop med principerna om dataskydd genom design och uppföljning (privacy by design och privacy

personliga
egenskaper,
behandling
i
stor
skala
av
känsliga
uppgifter,
övervakning
av
ett
område
i
stor
skala,
profilering
på
betydande
sätt
eller
överföring
av
personuppgifter
till
tredje
land.
Det
kan
även
krävas
när
tekniska
lösningar
eller
nya
processer
medför
betydande
risker.
överföringar,
lagringsperioder
och
tekniska
och
organisatoriska
skyddsåtgärder.
Den
ska
bedöma
riskernas
sannolikhet
och
allvarlighet
samt
ange
åtgärder
för
att
minska
riskerna
(t.ex.
dataminimering,
pseudonymisering,
åtkomstkontroller,
kryptering).
Den
ska
också
beskriva
hur
skyddet
ska
byggas
in
i
processen
(privacy
by
design/by
default)
och
vilka
återstående
risker
som
finns.
skriftligt
och
följas
upp
när
behandlingen
ändras
eller
när
nya
risker
uppkommer.
Om
DPIA:n
visar
hög
återstående
risk
och
åtgärderna
inte
tillräckligt
minskar
risken
kan
tillsynsmyndigheten
kontaktas
före
behandlingen
påbörjas.
I
Sverige
är
tillsynsmyndigheten
Integritetsskyddsmyndigheten
(IMY).
by
default)
och
utgör
en
del
av
den
organisatoriska
ansvarigheten.
Den
behöver
inte
göras
för
alla
behandlingar
och
ska
revideras
när
förutsättningarna
förändras.