Göra en riskbedömning inför varje behandling av personuppgifter

Företag behöver göra en riskbedömning inför varje behandling av personuppgifter. Dessutom behöver företaget ha en rättslig grund, även kallat för laglig grund, och ett ändamål vid behandlingen. GDPR ställer högre krav på företag än vad personuppgiftslagen gjorde, som blev ersatt av GDPR år 2018. En personuppgift är uppgifter som går att koppla uppgiften till en fysiskt levande person. Det kan vara både tydliga och mindre tydliga personuppgifter. Exempelvis namn, telefonnummer och bild. Även uppgifter som går att koppla genom en så kallad bakvägsidentifikation är personuppgifter. Till exempel om ett kort innehåller ett nummer som gör att det går att spärra kortet och få ett nytt. I och med att numret går att koppla till namnet, är även det en personuppgift. 

Göra en riskbedömning inför varje behandling 

Innan företag behandlar personuppgifter, måste en riskbedömning blir utförd. Det handlar om att analysera riskerna med behandlingen, vilket företaget ska fortsätta göra under behandlingen också. Dessutom måste företaget analysera hur företaget kan skydda uppgifterna från riskerna. Däremot behöver företaget först se riskerna, för att därefter utreda vilka åtgärder som är nödvändiga, både tekniska och organisatoriska säkerhetsåtgärder. Exempelvis bör företag upprätta interna rutiner för hur medarbetarna ska sköta sina arbetsuppgifter enligt GPDR. En utgångspunkt är att enbart de personerna som behöver tar del av personuppgifterna, får tillgång till uppgifterna. Därför behöver inte alla på ett företag ha tillgång till samtliga personuppgifter, som inte har med deras arbetsuppgifter att göra. 

Företaget behöver analysera hur stor risken är att en personuppgiftsincident inträffar. Därefter vilka konsekvenser som det kan medföra samt hur allvarliga de kan bli. Om det visar sig att risken är hög, behöver företaget göra en konsekvensbedömning. Om det kvarstår en hög risk enligt konsekvensbedömningen, även fast företaget har vidtagit åtgärder, behöver företaget samtala med IMY genom ett så kallat förhandssamråd