Nya anvisningar om genomförande av dataskyddsförordningen – konsekvensanalys, automatiserade enskilda beslut och profilering samt anmälan om informationssäkerhetskränkningar gällande personuppgifter som tema

Julkaistu sv 24.10.2017

Dataskyddsarbetsgruppen WP29 bestående av EU:s dataskyddsmyndigheter har gett ut en uppdaterad anvisning om konsekvensanalys. Arbetsgruppen publicerade även anvisningar om automatiserade enskilda beslut samt kränkningar av datasäkerheten gällande personuppgifter, vilka kan kommenteras fram till den 28 november 2017.

Dataskyddsarbetsgruppen WP29 antog den slutliga anvisningen om konsekvensanalys efter att ha redigerat den utifrån kommentarer. Offentligt hörande anordnas även om anvisningarna om automatiserade enskilda beslut och profilering samt anmälan om informationssäkerhetskränkningar. Anvisningarna kan kommenteras fram till den 28 november per e-post till adresserna JUST-ARTICLE29WP-SEC@ec.europa.eu och presidenceg29@cnil.fr. Handböckerna uppdateras efter behov utifrån feedbacken. Mer information om hörande finns på WP29-arbetsgruppens webbplats.

Konsekvensanalys gällande dataskydd

Enligt EU:s allmänna dataskyddsförordning ska en konsekvensanalys gällande dataskydd genom föras när en hög risk sannolikt riktas mot behandlingen av personuppgifter. Konsekvenserna ska analyseras t.ex. vid behandling av stora mängder känsliga data eller vid användning av ny teknik. I dataskyddsförordningen fastställs den registeransvariges skyldigheter baserat på riskerna. Skyldigheterna och nödvändiga skyddsåtgärder bestäms enligt hur riskfylld behandlingen av personuppgifter är för den registrerades fri- och rättigheter.

WP29-dataskyddsarbetsgruppen har publicerat en handbok som preciserar när och hur en konsekvensanalys ska genomföras. I handboken beskrivs metoder och riskdefinition i samband med konsekvensanalys.

Automatiserade enskilda beslut, profilering och anmälan om informationssäkerhetskränkningar gällande personuppgifter

Enligt dataskyddsförordningen har registrerade i regel rätt att inte bli föremål för ett sådant beslut som enbart baserar sig på automatisk handläggning. Avvikelser från detta kan dock göras till exempel när beslutet är nödvändigt för att ingå ett avtal mellan den registrerade och den registeransvarige eller baserar sig på den registrerades uttryckliga samtycke.

Dataskyddsförordningen innehåller även bestämmelser om den registeransvariges skyldighet att anmäla informationssäkerhetskränkningar gällande personuppgifter till dataskyddsmyndigheten och den registrerade. De nya handböckerna ger mer information om frågorna och även exempel på hur dataskyddsförordningen ska tillämpas.

Kommande anvisningar

Dataskyddsarbetsgruppen WP29 har som mål att publicera anvisningar om samtycke, transparens, certifiering och en uppdatering om internationella dataöverföringsmedier senast i februari 2018. Transparens och internationell dataöverföring behandlas på arbetsgruppens workshop den 18 oktober. Målet med workshoppen är att höra intressentgruppernas åsikter redan vid förberedelsen av anvisningarna. Även dataombudsman Reijo Aarnio deltar i workshoppen.

Anvisningar:

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk" for the purposes of Regulation 2016/679 (pdf, 1.09 Mt)

Guidelines on Personal Data Breach Notification under Regulation 2016/679 (pdf, 0.8 Mt)

Guidelines on Automated Individual Decision-making and Profiling for the Purposes of Regulation 2016/679 (pdf, 0.78 Mt)

Ytterligare information:
dataombudsman Reijo Aarnio, tfn 02956 66730, reijo.aarnio(at)om.fi

EU:s dataskyddsreform

Dataskyddsarbetsgruppen WP29:s webbplats (på engelska)

Sivun alkuun sv |