DPIA – Varför, När, Hur?

En rekommendation som undertecknad mer än en gång har skrivit i rapport till kund kan låta ungefär så här: 

”Det rekommenderas att kunden genomför en Konsekvensanalys (Data Protection Impact Assessment, DPIA) av personuppgiftsbehandlingen för att säkerställa ett denne är laglig, nödvändig och proportionell.”

En evig strävan som konsult är att skriva rekommendationer som är tydliga och som går att implementera samtidigt som de inte är kostnadsdrivande. Det kan vara särskilt svårt att inte driva kostnader när det handlar om att allokera tid för att genomföra en grundlig konsekvensanalys. Därför kommer jag i denna blogg att svara på tre grundläggande frågor om DPIA samt ge mina bästa tips för hur analysen kan utföras (och förhoppningsvis hur resurser kan användas effektivt). 

Varför?

För att svara på frågan varför behöver först frågan ”vad?” besvaras. Det korta svaret är att en DPIA är en typ av Privacy Impact Assessment (PIA) vilket i sin tur är konsekvensanalyser som görs från ett dataskyddsperspektiv, dvs. vilka konsekvenser en behandling medför för en verksamhet och de individer vars personuppgifter behandlas. Ett exempel är PIA:or som genomförs vid överförande av personuppgifter till tredje land där tredje landets dataskyddsreglering bedöms. Dessa kallas ofta Transfer Risk Assessment, TRA, eller Transfer Impact Assessment, TIA [1]. Hursomhelst, det viktiga att ta med sig härifrån är att genomförandet av en DPIA är lagstadgad i GDPR art. 35. Lagen säger ordagrant: 

Nyckelorden i lagtexten är fetmarkerade ovan – ”Om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter” ska en DPIA genomföras. Syftet med en DPIA är att identifiera vad som sannolikt kan leda till en hög risk för registrerade vars personuppgifter behandlas. Riskerna ska främst gälla dataskydd och integritet för individen, men även andra grundläggande fri- och rättigheter ska inkluderas (eftersom förlust av dataskydd kan påverka fri-och rättigheter för individen) [2]. Det är mycket viktigt att förstå att en DPIA inte ska identifiera och bedöma risker för verksamheten. Det är också viktigt att involvera dataskyddsombudet (DPO), om ett sådant finns, vid genomförandet av en DPIA (GDPR art. 35.2). 

Men varför ska då en DPIA göras? Ett svar är att det är lagstadgat, ett annat svar är ansvaret som personuppgiftsansvariga har. DPIA är ett sätt att dokumentera ansvaret samt skapa och påvisa efterlevnad mot GDPR genom att vara transparent i vilka risker en behandling medför. Vidare är en DPIA till för att analysera om behandlingen är nödvändig och proportionerlig i förhållande till dess syfte. Skulle det visa sig att det inte är proportionerligt eller nödvändigt måste man som personuppgiftsansvarig vara beredd på att resultatet av en DPIA kan bli att behandlingen inte alls ska genomföras. En korrekt utförd DPIA visar därmed att verksamheten tar personuppgiftsansvaret på allvar samt ger verksamheten väl motiverade argument för genomförandet av personuppgiftsbehandlingen.  

När?

Vilka behandlingar leder till höga risker för individens fri- och rättigheter? Detta har operationaliserats av European Data Protection Board (EDPB) till 9 specifika typer av behandlingar [3]: 

1. Vid utvärdering, poängsättning eller andra typer av profilering och förutsägelser om en individ.
2. Vid automatiskt beslutsfattande som leder till att personer eventuellt diskrimineras eller utesluts.
3. Vid systematisk övervakning, såsom övervakningskameror på allmän plats eller övervakning av IT-miljöer.
4. Om känsliga personuppgifter eller andra extra skyddsvärda personuppgifter behandlas.
5. Om personuppgifter behandlas i stor skala, avseende bl.a. antalet registrerade, hur mycket data per individ som behandlas och hur länge data sparas.
6. Om data samkörs från olika behandlingar som individen inte har väntat sig. 
7. Om särskilt sårbara registrerade behandlas, såsom barn och anställda, där det finns en stor obalans i makt mellan personuppgiftsansvariga och de registrerade. 
8. Som lagen påpekar specifikt: vid användande av nya teknologier och innovation som innebär att personuppgifter samlas in på nya sätt. Vanliga exempel för detta är IoT-enheter och biometrisk autentisering.  
9. När behandlingen i sig hindrar den registrerade från att bruka sina fri-och rättigheter, eller använda en tjänst eller avtal. 

Uppfylls ett av dessa krav ska personuppgiftsansvarig överväga ett genomföra en DPIA, om två eller fler krav uppfylls ska en DPIA genomföras. 

Utöver att identifiera vilka behandlingar en DPIA ska omfatta, ska en DPIA genomföras så tidigt som möjligt innan en ny personuppgiftsbehandling är på plats. En DPIA kan även genomföras för behandlingar som redan är implementerade i en organisation, till exempel om omfattningen har ökat, om ny teknologi används, eller om behandlingen etablerades innan GDPR trädde i kraft.

Hur? – Planera och genomföra

Nu till själva genomförandet. En bra utgångspunkt är att lägga upp arbetet som för en ”vanlig” riskanalys, men med några särskilt viktiga aktiviteter. Fem bra punkter som undertecknad gärna förhåller sig till vid riskanalyser och DPIA: 

1. Börja med att skapa ett behandlingsregister för behandlingen i fråga, alltså ”data mapping” där behandlingens syfte, legala grund, omfattning och andra detaljer skrivs ned. 
2. Identifiera relevanta stakeholders för att delta i riskanalys-workshopen. Det kan vara systemägare, processägare, representanter från ledningen, systemanvändare, IT-säkerhetsspecialister osv. Det är behandlingens art som avgör vilka som ska delta. Viktiga personer att inkludera är de som har en förståelse för personuppgiftsbehandlingen, affärsprocessen där behandlingen ingår samt personer som har en förståelse för de IT-stöd som används för behandlingen. 
3. Boka DPIA-workshop i god tid. Längden bör inte vara alltför lång med avseende på stakeholders begränsade tid men tillräckligt långt för att inte hämma diskussionerna. Mellan 2 och 3 timmar brukar vara bra. 
4. Skriv ett bra mejl (eller håll i ett förmöte)! Genomförandeprocessen av DPIA bör beskrivas med särskilt fokus på vad som förväntas att deltagarna ska ha satt sig in i innan själva workshopen. För en systemägare kan det vara identifiering av planerade eller nuvarande tekniska säkerhetsåtgärder, för en processägare kan det vara detaljer om hur personuppgifter samlas in. På så sätt kan själva riskanalysworkshopen fokusera på att identifiera risker. 
5. Håll workshopen! Identifiera risker! Identifiera möjliga organisatoriska och tekniska säkerhetsåtgärder för att minska risker! Kör i vind! 

Hur? – Dokumentation

När risker har identifierats återstår kanske det viktigaste i hela processen, att dokumentera. Dokumentation innebär att påvisa efterlevnad och en rapport måste finnas för genomförda DPIA. IMY har beskrivit fyra grundläggande krav på vad en konsekvensbedömning ska innehålla [4]:

• En systematisk beskrivning av den planerade behandlingen och behandlingens syfte.
• En bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syftet med den.
• En bedömning av riskerna för de registrerades rättigheter och friheter.
• De åtgärder som ni planerar för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs.

Det som särskiljer en DPIA från andra riskanalyser är den andra punkten i listan ovan – en bedömning av om behandlingen är nödvändig och proportionell i förhållande till syftet med den. Att bedöma nödvändighet innebär att bedöma om begränsningen av de registrerades fri- och rättigheter som behandlingen medför är strikt nödvändig för syftet med behandlingen. Vad är ändamålet med behandlingen? Varför kommer personuppgifterna att behandlas på det här sättet för att uppfylla ändamålet? Finns det några andra metoder för att uppfylla ändamålet som inte leder till samma höga risker för de registrerade? Om svaret är ja på den sista frågan behöver dessa metoder utvärderas innan behandlingen sker. Ju färre risker för de registrerade, desto mer laglig behandling av personuppgifter. Det handlar helt enkelt om att bedöma om all data som samlas in och behandlas verkligen behövs för ändamålet. 

Med avstamp i nödvändigheten ska proportionaliteten bedömas. Är det, avseende på inskränkningen av individers fri- och rättigheter och de risker detta medför, proportionerligt att genomföra behandlingen? Kommer inskränkningen förhindra de registrerade att nytta sina fri- och rättigheter på ett sätt som inte är möjligt att rättfärdiga? [5]. 

Bedömningarna av nödvändighet och proportionalitet ska visa på att inga onödiga risker finns med personuppgiftsbehandlingen. Därmed har en personuppgiftsansvarig tagit sitt ansvar på allvar. Slutligen, som nämndes i början av denna blogg, har DPO:n en lagstadgad roll vid en DPIA. Innan rapporten är klar ska DPO:n ge sin synpunkt på riskbedömningarna och lagligheten av den planerade behandlingen.  

En viktig del av genomförandet av en DPIA är att om analysen landar i slutsatsen att behandlingen med sannolikhet kommer leda till höga risker där alla tekniska och organisatoriska åtgärder som bedömts rimliga med avseende på tillgänglig teknik och kostnader för genomförandet har vidtagits, då ska så kallat förhandssamråd sökas med IMY. Mer information om detta finns på IMY:s hemsida [6]. 

Tips och trix

Så med denna genomgång bakom oss är det dags att komma till mina tips för hur din organisation kan vara så resurseffektiva som möjligt vid genomförandet av en DPIA. 

Tips 1: Är det svårt att bedöma om en DPIA ska genomföras men ni misstänker att det är så? Gör en Pre-DPIA, dvs. gör en preliminär bedömning om behandlingen och om den sannolikt kommer resultera i hög risk för individen. Det handlar om att bedöma de 9 scenariona beskrivna ovan samt identifiera nuvarande organisatoriska och tekniska åtgärder. 

Tips 2: DPIA:or behöver inte genomföras om det redan har gjorts en DPIA på en liknande behandling, vid ett sådant fall kan de två analyserna kombineras. Innan ni sätter er ner och gör en DPIA, se över om det finns liknande behandlingar i er organisation! Glöm inte motivera detta i rapporten.  

Tips 3: Eftersom en DPIA berör risker för individens fri- och rättigheter kan det vara bra att börja med dessa för att därifrån identifiera mer konkreta risker. Börja med att fråga ”hur kan det påverka registrerade om deras personuppgifter blir tillgänglig för obehöriga?” för att sedan fråga ”på vilka sätt kan dessa personuppgifter bli tillgängliga för obehöriga?” och ”vilka säkerhetsåtgärder minskar sannolikheten att detta sker?”. Börja med de grundläggande principerna i GDPR som utgångspunkt i riskidentifieringen, se [7].

Tips 4: Ett anti-tips kanske detta kan klassas som, men se till att själva DPIA:n är fullständig. Det finns exempel där IMY har rekommenderat att personuppgiftsansvariga att göra en utförligare analys och fram till dess avrådde IMY från genomförandet av behandlingen – det är ännu mer resurskrävande än att göra en korrekt analys från början [8]. 

Källor

[1] https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/international-data-transfer-agreement-and-guidance/transfer-risk-assessments/

[2] https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/konsekvensbedomningar-och-forhandssamrad/dataskyddsforordningen-om-konsekvensbedomningar-och-forhandssamrad/

[3] https://ec.europa.eu/newsroom/article29/items/611236

[4] https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/konsekvensbedomningar-och-forhandssamrad/sa-har-gor-man-en-konsekvensbedomning/

[5] https://www.edps.europa.eu/data-protection/our-work/subjects/necessity-proportionality_en

[6] https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/forhandssamrad/

[7] https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/grundlaggande-principer/

[8] https://www.datatilsynet.no/globalassets/blokker/plikter-og-rettigheter/virksomhetenes-plikter/forhandssamrad-om-azure-ad-och-teams.pdf/