Dataskyddsrisker och regleringen i anslutning till dem

Personuppgifter kan till exempel

• ses antingen oavsiktligt eller avsiktligen utan rätt
• behandlas i system som inte uppfyller de aktuella kraven
• behandlas så att behandlingen inte har planerats, dokumenterats och genomförts på behörigt sätt.

Uppgifter kan till exempel lagras onödigt länge på platser där det inte finns ordentlig övervakning av behandlingen, såsom på nätverksenheter som saknar loggning, dvs. som inte sparar och utnyttjar logguppgifter.

Ett typiskt exempel är också att organisationen förvarar personuppgifter som inte längre har ett ändamålsenligt användningsändamål på ställen som saknar systematisk övervakning. Personuppgifter kan till exempel glömmas bort på nätverksenheter, i e-posten eller personalens egen dator.

Vid en informationssäkerhetsincident kan angriparen då få tillgång till en större mängd information än vad en ändamålsenlig förvaring av personuppgifterna skulle ha möjliggjort.

Brådska eller resursbrist kan till exempel leda till att risker i anslutning till dataskyddet inte utreds. Likaså har man eventuellt låtit bli att göra en konsekvensbedömning av personuppgifter och utreda handläggarnas leveranskedjor.

Då uppstår det ur den personuppgiftsansvariges perspektiv en risk för att hen inte vet vilka risker som dataskyddet och personuppgifterna är förknippade med. För den registrerades del uppstår en risk att behandlingen av personuppgifter inte följer principerna för dataskydd.

När riskerna inte har identifierats

• kan informationssäkerhetsincidenter bli oupptäckta
• effekterna för organisationen och de registrerade kan komma som en överraskning och
• effekterna kan vara allvarligare än vad som skulle ha varit möjligt om god dataskyddspraxis hade följts.

Inte ens genom god riskhantering av digital säkerhet, dataskydd och informationssäkerhet kan man eliminera alla risker som riktas mot dataskyddet och behandlingen av personuppgifter.

En del av riskerna kan elimineras. För andra risker kan antingen effekterna av eller sannolikheten för att risken realiseras minskas eller både och. Vissa kvarstående risker kvarstår ändå. Därför är det skäl att med tanke förverkligandet av de identifierade riskerna planera processerna för beredskap och kontinuitetshantering: hur ska man gå till väga när en risk förverkligas.

Lagar som fastställer vilka personuppgifter kommunen ska behandla, varför och hur länge är till exempel

• kommunallagen
• lagen om småbarnspedagogik
• lagen om grundläggande utbildning
• lagen om områdesanvändning och
• arkivlagen.

Lagstiftning som fastställer vilka personuppgifter som ska behandlas inom statsförvaltningen, varför och hur länge är till exempel lagstiftning som anknyter till

• beskattningen
• rättsväsendet
• polisens verksamhet
• arméns verksamhet och
• ministeriernas ansvarsområden.

Lagar som fastställer högskolornas verksamhet och syftet med behandlingen av deras personuppgifter är till exempel

• lagar och förordningar om yrkeshögskolor och
• universitetslagen.

Lagstiftning som fastställer vilka personuppgifter välfärdsområdet ska behandla, varför och hur länge är till exempel

• lagen om välfärdsområden och
• lagen om ordnande av social- och hälsovård.

Det är ofta fråga om en sådan situation när

• organisationen utnyttjar molntjänster
• leveranskedjan för organisationens tjänsteproduktion eller delar av den ligger utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet, eller
• organisationens intressentgrupper verkar i tredjeländer.

Om personuppgifter som den personuppgiftsansvarige organisationen ansvarar för behandlas i länder utanför EU- eller EES-området, dvs. i tredjeländer, ska den personuppgiftsansvarige säkerställa att lagstiftningen i mållandet/målländerna är på den nivå som förutsätts i EU:s allmänna dataskyddsförordning.

Att göra en bedömning av dataöverföringen (Transfer Impact Assessment, TIA) är ett sätt att säkerställa detta mål. Den personuppgiftsansvariga organisationen ska bedöma läget för lagstiftningen i mållandet, dvs. göra en bedömning i anslutning till dataöverföringen alltid när den identifierar att personuppgifter som den behandlar överförs eller kan överföras

• till tredjeländer, dvs. länder som inte är en del av Europeiska unionen eller Europeiska ekonomiska samarbetsområde, eller
• till aktörer för vilka Europeiska kommissionen inte har fattat beslut om fastställande av likvärdighet (dvs. för vilka den inte har fattat beslut om huruvida skyddet av personuppgifter är tillräckligt).

Ett beslut om fastställande av likvärdighet kan gälla ett visst land inom Europeiska unionen och Europeiska ekonomiska samarbetsområde eller ett visst lands territorium, en viss sektor eller en internationell organisation.

• Läs mer om beslutet om fastställande av likvärdighet och de aktörer som blivit beviljade detta på Dataombudsmannens webbsidaÖppnas i ett nytt fönster..
• Läs mer om bedömningen av dataöverföring och de verktyg som används för att göra bedömningen på webbplatsen för organisationen The International Association of Privacy Professionals (IAPP) (på engelska)Öppnas i ett nytt fönster..