4. Bedöm riskerna och konsekvenserna av behandlingen av personuppgifter

Anordnare av hobbyverksamhet ska alltid bedöma risker som förknippas med behandling av personuppgifter innan man börjar behandla personuppgifter. Om det är sannolikt att behandling av personuppgifter förknippas med en hög risk för den person vars uppgifter behandlas ska man genomföra en konsekvensbedömning avseende dataskyddet. Konsekvensbedömningen kan underlätta identifiering, bedömning och hantering av de risker som förknippas med behandling av personuppgifter.

Konsekvensbedömning innebär att man bedömer risker som orsakas av behandlingen av personuppgifter och nödvändiga åtgärder för att ingripa mot riskerna. En konsekvensbedömning ska göras när man planerar en behandling av personuppgifter som sannolikt leder till en hög risk för den registrerades rättigheter och friheter. Konsekvensbedömning är avsedd att vara en kontinuerlig process för att identifiera och hantera risker. En konsekvensbedömning ska göras innan behandlingen inleds och den ska vid behov uppdateras.

De nödvändiga skyddsåtgärderna ska ställas i relation till den risk som orsakas av behandling av personuppgifter: högre risk kräver effektivare skydd. Risken kan vara hög till exempel när man behandlas uppgifter som hör till särskilda kategorier av personuppgifter, barns uppgifter eller ett stort antal personuppgifter som gäller en större grupp av människor.

Vad avses med risk?

Enligt den allmänna dataskyddsförordningen kan risken för fysiska personers rättigheter och friheter uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, till exempel om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, social nackdel eller obehörigt hävande av pseudonymisering.

Risknivån bedöms utifrån behandlingens art, omfattning, frekvens, sammanhang och ändamål. Regelbunden behandling av känsliga personuppgifter i stor omfattning kan medföra hög risk för de registrerade. Om en förening behandlar känsliga uppgifter eller uppgifter som hör till särskilda kategorier av personuppgifter i stor omfattning, ska den bedöma behandlingens konsekvenser för dataskyddet. Till exempel behandling av hobbyidkarnas hälsouppgifter kan kräva en konsekvensbedömning.

Dataombudsmannens byrå har upprättat en anvisning (på finska) om utförande av konsekvensbedömningar avseende dataskydd till stöd av personuppgiftsansvariga samt ett användarvänligt Excel-verktyg (på finska) som man kan använda vid utförandet av konsekvensbedömningar.

Läs mer: Konsekvensbedömning | Dataombudsmannens byrå

När ska man göra en konsekvensbedömning avseende dataskydd?

Konsekvensbedömning avseende dataskydd ska utföras när den planerade behandlingen av personuppgifter kan medföra hög risk för de registrerades rättigheter och friheter. Sådana situationer kan uppstå till exempel när man använder ny teknologi för behandling av personuppgifter, när man behandlar stora mängder av uppgifter som hör till särskilda kategorier av personuppgifter eller när man behandlar personuppgifter av personer i sårbar ställning (till exempel barn, anställda, äldre).

Kom ihåg följande

Identifiera och gör en bedömning av risker som behandling av personuppgifter kan medföra de registrerade. Utför konsekvensbedömning avseende dataskydd vid hög risk.