Samråda med IMY vid behandling av personuppgifter

Fråga: Hej, behöver företag samråda med IMY vid behandling av personuppgifter eller innan? Om så, gäller det vid behandling av alla personuppgifter eller vissa som är mer känsliga. 

Samråda med IMY innan behandling av personuppgifter

Svar: I vissa fall kan företag behöva samråda med IMY innan behandling av personuppgifter sker. Däremot gäller det inte i de flesta fallen, utan främst om det rör behandling som kan vara väldigt integritetskränkande.

Företag ska enligt art. 35 i GDPR genomföra en konsekvensbedömning av dataskydd (Privacy Impact Assesment (PIA). Detta ska ske om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Genom en konsekvensbedömning ska företaget noggrant beskriva den tilltänkta behandlingen ifråga och göra en bedömning av behandlingens laglighet. Särskilt avseende rättslig grund, omfattning, ändamål och syfte med behandlingen. En analys av potentiella risker och en plan med åtgärder för att reducera risker och konsekvenser som kan uppstå på grund av behandlingen behöver också bli upprättad.

När företaget gör en konsekvensbedömning innan behandling av personuppgifter som kan medföra en hög risk för den enskilda, är det viktigt att dokumentera hur företaget ska göra för att garantera säkerheten. Dessutom ska företaget begränsa riskerna genom att vidta lämpliga åtgärder. Om risken är hög, ska företaget före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

Vid identifieringen av riskerna med behandlingen ifråga, beaktas även åtgärder för att minska risker och mildra potentiella negativa effekter av behandlingen för den registrerades friheter och rättigheter. Dessutom analyseras tilltänkta organisatoriska och tekniska åtgärder.

När ett företag har gjort en konsekvensbedömning och kommit fram till att risken är stor för enskilda och deras fri och rättigheter vid behandling av dessa personuppgifter, ska företaget begära ett förhandssamråd med IMY.

Uteblivet förhandssamråd kan leda till sanktioner

Ett fall där IMY ansåg att det var lämpligt med att samråda innan en viss behandling, var när gymnasienämnden godkände att en gymnasieskola skulle få använda ansiktsigenkänning för närvaroregistrering. På hemsidan www.AvtalGDPR.se som är en del av Digitala Juristerna finns en sammanfattning av beslutet. Myndigheten utfärdade en sanktionsavgift som följd på 200 000 kr och skrev i sitt beslut att de tyckte att gymnasienämnden borde ha samrått med myndigheten före utförandet av behandlingen.