En personuppgiftsansvarig måste enligt dataskyddsförordningen (GDPR) utföra en konsekvensbedömning inför en personuppgiftsbehandling som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Utöver uppräkningen som finns i GDPR har nu Datainspektionen (DI) upprättat en förteckning över behandlingar som ska föregås av sådan bedömning (se diarienummer DI-2018-13200).

En konsekvensbedömning ska göras inför en behandling som uppfyller minst två kriterier i DI:s förteckning, vilken innefattar nio punkter. Bland annat ingår behandling av känsliga eller mycket personliga uppgifter samt uppgifter om personer i beroendeställning, såsom anställda. Förteckningen är dock inte uttömmande.

DI ger vidare en rad exempel på specifika behandlingar inom arbetslivet som kräver konsekvensbedömning, dvs. som uppfyller minst två kriterier. Så är fallet inför arbetsgivares systematiska övervakning av anställdas internet- och e-postanvändning och införandet av visselblåsar- eller vissa inpasseringssystem. Också bakgrundskontroller och inrättande av kandidat- och kompetensdatabaser ingår i uppräkningen.

Det är viktigt att notera att en konsekvensbedömning avseende dataskydd inte alltid krävs, även om två eller fler av kriterierna är uppfyllda. Den personuppgiftsansvarige kan nämligen göra bedömningen att behandlingen sannolikt inte leder till en hög risk avseende personers rättigheter och friheter. DI påpekar dock att denne då bör motivera och dokumentera både sitt ställningstagande och dataskyddsombudets synpunkter.