En konsekvensbedömning ska påbörjas innan personuppgiftsbehandlingen startats. Dock finns det situationer som kräver att en konsekvensbedömning görs för en befintlig personuppgiftsbehandling som till exempel har ökade risker på grund av ändringar i utförandet av personuppgiftsbehandlingen.
Det finns fyra grundläggande krav som ni ska följa i er konsekvensbedömning:
- En systematisk beskrivning av den planerade behandlingen och dess syfte
- En utvärdering av om behandlingen är nödvändig och proportionerlig till dess syfte
- En utvärdering av vilka risker som kan föreligga för de registrerades rättigheter och friheter
- Vilka åtgärder som ska genomföras för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs
Därutöver måste ni redogöra med ert dataskyddsombud samt ta in synpunkter från de registrerade eller deras företrädare när det är möjligt.
Främst kan ni överväga ifall behandlingen är nödvändig och proportionerlig i förhållande till dess syfte. Det kan finnas andra sätt ni kan uppnå syftet med behandlingen som innebär mindre risker. Det är även viktigt att ni från start inkorporerar konsekvensbedömningen i era arbetsrutiner som i till exempel era projektplaner.
En konsekvensbedömning räcker inte alltid utan ibland kan personuppgiftsbehandlingen förändras på ett sätt som medför mer risker som till exempel att ni samlar in fler personuppgifter än tidigare och således bör ni ompröva bedömningen.
ICO har en mall som man kan följa i sin konsekvensbedömning.