Syftet med en konsekvensbedömning (DPIA) enligt GDPR är att förebygga risker. Målet är att skydda människors fri- och rättigheter och minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk. Hög risk kan det vara om det saknas tillräckliga säkerhetsåtgärder, så att ”fel” personer får tillgång till personlig eller känslig information, till exempel uppgifter som kan leda till risk för diskriminering, identitetsstöld, bedrägeri, ekonomisk förlust eller skadat anseende.

Om en personuppgiftsbehandling faller in under någon av nedanstående kategorier kan det innebära att man som organisation behöver göra en s.k. konsekvensbedömning. Om två eller flera av punkterna är uppfyllda ska man i de allra flesta fall göra en konsekvensbedömning.

I tveksamma fall bör man göra en konsekvensbedömning.

Man bör överväga att göra en konsekvensbedömning om man

• utvärderar eller poängsätter människor, till exempel ett företag som erbjuder genetiska tester till konsumenter för att bedöma risker för sjukdomar, ett kreditupplysningsföretag eller ett företag som profilerar internetanvändare
• behandlar personuppgifter i syfte att fatta automatiska beslut som har rättsliga följder eller liknande betydande följder för den registrerade
• systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer
• behandlar känsliga personuppgifter eller uppgifter som är mycket personliga, till exempel ett sjukhus som lagrar patientjournaler, ett företag som samlar in lokaliseringsuppgifter eller en bank som hanterar finansiella uppgifter
• behandlar personuppgifter i stor omfattning
• kombinerar personuppgifter från två eller flera behandlingar på ett sätt som den registrerade inte förväntar sig, till exempel när man samkör register
• behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, exempelvis barn, anställda, asylsökande, äldre och patienter
• använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (Internet of things, IoT)
• behandlar personuppgifter på ett sätt som hindrar de registrerade från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån.

Budskapet är:

Utför hellre en konsekvensbedömning för mycket än en för lite när det är tveksamt huruvida det är ett krav för en viss personuppgiftsbehandling att utföra en konsekvensbedömning.

Om ett kriterium är uppfyllt är det god sed att genomföra konsekvensbedömning. Om två eller fler kriterier är uppfyllda innebär det ett lagkrav.