Artikel 29-gruppen (de europeiska dataskyddsmyndigheterna) har tagit fram ett förslag till en vägledning för hur man ska genomföra konsekvensbedömning avseende dataskydd, mer känt som PIA eller DPIA. Enligt GDPRs (Allmänna dataskyddsförordningen, General Data Protection Regulation) artikel 35 är det obligatoriskt att genomföra en DPIA om det finns en hög risk för fysiska personers rättigheter och friheter. Om man inte kan visa den är genomförd riskerar företaget en sanktionsavgift om maximalt 2 % av företagets globala omsättning. Det är också bra att göra en DPIA eftersom man då kan visa att man som företag följer reglerna och använda det som argument när man vill bygga förtroende hos de som man avser att samla information från.
Hela dokumentet är en vägledning och kan med fördel läsas för att försöka förstå hur datainspektionen kommer att resonera kring kravet på när och hur en DPIA ska genomföras. I dokumentet ges exempel på när man enligt Artikel 29-gruppen ska göra en DPIA, som till exempel vid framtagandet av beteendestyrd marknadsföring eller vid insamlingen av viss information från olika elektroniskt styrda apparater (Internet of Things).
Dokumentet i sin helhet. [PDF]
Har du några kommentarer till förslaget till DPIA, kan du med fördel skicka dem till Kommissionen och Artikel 29-gruppen. Instruktioner hittar du här.