Om en behandling av personuppgifter sannolikt leder till en hög risk för de anställdas fri- och rättigheter ska arbetsgivaren göra en konsekvensbedömning.
I arbetslivet behandlas anställdas personuppgifter i allt från löneregister och adresslistor till behörighetssystem och kompetensdatabaser. Arbetsgivare behöver vara medvetna om att skyldigheten att utföra en konsekvensbedömning kan aktualiseras relativt ofta.
Eftersom anställda är i beroendeställning till sin arbetsgivare kan behandlingen av deras personuppgifter leda till särskilda risker. Om en behandling sannolikt leder till en hög risk för de anställdas fri- och rättigheter ska arbetsgivaren göra en konsekvensbedömning.
Till exempel kan en konsekvensbedömning krävas innan en arbetsgivare ska påbörja en ny behandling eller göra större förändringar i behandlingen av personuppgifter om sina anställda. Det gäller till exempel om behandlingen avser känsliga uppgifter i stor omfattning eller innebär systematisk övervakning.
Exempel på behandlingar som kräver att konsekvensbedömning utförs
När det gäller kontroll och övervakning av anställda aktualiseras olika typer av risker för de anställdas fri- och rättigheter. Exempelvis finns det risk för intrång i de anställdas privatliv om arbetsgivaren genom övervakning eller kontroll får tillgång till överskottsinformation som rör den anställdes privata sfär eller tillgång till känsliga personuppgifter. Kontroll och övervakning av anställda aktualiserar även arbetsmiljörisker eftersom sådana system kan öka de psykosociala riskerna och påverka hälsan negativt.
En särskild risk vid arbetsgivares behandling av känsliga personuppgifter är att uppgifterna på grund av brister i hanteringen röjs till obehöriga personer inom eller utanför verksamheten. Vid behandling av biometriska uppgifter om de anställda kan konsekvenserna av ett röjande bli mycket allvarliga.
Om det har införts ett visselblåsarsystem på arbetsplatsen kan det inom ramen för systemet förekomma behandling av uppgifter om anställdas lagöverträdelser. Uppgifter som rör lagöverträdelser är inte känsliga personuppgifter i dataskyddsförordningens mening men har ett starkt skydd.
Vid insamling av information inför rekrytering finns det risk för att överskottsinformation behandlas. Rekryteringsföretaget eller arbetsgivaren riskerar att få tillgång till integritetskänsliga uppgifter om den sökande som inte är relevanta för den sökta tjänsten.
Även i samband med bakgrundskontroller finns det risk för att bakgrundskontrollföretaget eller arbetsgivaren får tillgång till överskottsinformation i form av integritetskänsliga uppgifter om den sökande som inte är relevanta för den sökta tjänsten. Om det vid bakgrundskontrollen framkommer uppgifter om lagöverträdelser så aktualiseras särskilda risker. En felaktig hantering av sådana uppgifter kan exempelvis skapa sociala problem för den arbetstagare som uppgifterna handlar om.
Uppräkningen av exempel är inte uttömmande. Tänk på att det kan finnas krav på konsekvensbedömning även i andra situationer. Till hjälp finns kriterierna i vår förteckning.