Den riskbaserade metoden i GDPR : Särskilt om konsekvensbedömningar / The risk-based approach in GDPR : Data Protection Impact Assessments

Krook, Mathilda

January 2018

On the 25th of May 2018, the new General Data Protection Regulation (GDPR) came into effect. Since that date, the GDPR applies directly as law in each of the European member states. The regulation will constitute substantial changes for data controllers who process personal data within their businesses, first and foremost because of the introduction of new material rules coming from the new accountability principle in article 5.2 GDPR. The accountability principle, explained briefly, sets out an obligation for the controller to be responsible for and be able to demonstrate compliance with the GDPR. The risk-based approach has been introduced to the GDPR to make the rules and principles of data protection law 'work better'. To accomplice this, the applicability of the GDPR provisions is now dependent on the risks that may occur from the processing of personal data, making the legal requirements of the controller scalable and proportionate. The aim of this thesis is to examine what the risk-based approach can add to achieve stronger data protection within the EU. For that purpose, the thesis initially studies the structure of the GDPR as well as the data protection principles. The thesis then looks at the basics of the risk-based approach and how the notion of risk has changed since the previous Data Protection Directive. The author then proceeds to an analysis of one of the new material provisions originating from the accountability principle: The obligation to carry out a Data Protection Impact Assessment (DPIA) for high risk processing. By analysing the obligation to carry out DPIA:s, the practical difficulties that can arise when applying the rules based on the notion of risk, is exposed. The findings suggest that the risk-based approach alone is not enough, but together with the empowering of each individual, the GDPR is likely to provide a stronger protection of personal data than the Data Protection Directive. / Den 25 maj 2018 trädde den nya dataskyddsförordningen (GDPR) i kraft och gäller sedan ikraftträdelsedagen direkt som lag i samtliga EU-medlemsländer. Förordningen kommer att innebära stora förändringar för de aktörer som behandlar personuppgifter. Framför allt på grund av de nya materiella regler som introduceras på grund av den nya principen om ansvarsskyldighet som stadgas i artikel 5.2 GDPR. Principen om ansvarsskyldighet innebär i korthet att den personuppgiftsansvarige är skyldig att ansvara för och kunna visa att förordningen efterlevs. Den riskbaserade metoden har introducerats för att GDPR:s regler och principer ska fungera bättre. Detta ska åstadkommas genom att göra tillämpligheten av dessa regler beroende av de risker som personuppgiftsbehandlingen innebär. På så sätt blir de legala skyldigheterna som den personuppgiftsansvarige träffas av skalbara och proportionerliga i förhållande till behandlingen. Uppsatsens huvudsakliga syfte är att undersöka vad den riskbaserade kan addera till ändamålet att skapa ett starkare dataskydd inom EU. För att göra detta undersöks inledningsvis GDPR:s struktur och de grundläggande dataskyddsprinciperna. Därefter undersöks vad den riskbaserade metoden innebär samt hur innebörden av risk har ändrats sedan dataskyddsdirektivet. I uppsatsen analyseras särskilt skyldigheten att utföra konsekvensbedömningar. Fördjupningen kring denna skyldighet syftar till att visa på de praktiska svårigheter som kan uppstå vid tillämningen av de materiella regler som bygger på risk. Författaren kommer slutligen fram till att den riskbaserade metoden ensamt inte är tillräcklig för att uppnå ett starkare dataskydd. Men tillsammans med individernas ökade kontroll över sina uppgifter kommer GDPR sannolikt att leda till ett starkare skydd för personuppgifter jämfört med dataskyddsdirektivet.

Dataskydd

Dataskyddsförodningen

GDPR

Riskbaserad metod

Konsekvensbedömning

DPIA

Law

Juridik

Konsekvensbedömning avseende dataskydd : Riskanalys möter rättighetskrav

Johansson, Stefan

January 2018

The protection of personal data is a question of high priority within the EU. The General Data Protection Regulation (GDPR), which replaces the Directive 94/46/EC on data protection and shall be uniformly applied in the whole union from the 25th of May 2018, is a sign of this. Since the direct roots of the data protection rules and principles that are expressed in the GDPR are to be found in the article 8.1 of the Charter of Fundamental Rights of the European Union and in the article 16.1 of the Treaty on the Functioning of the European Union, the legal position of the protection of personal data as a fundamental human right is clear. Although this position is somewhat modified in recital 4 of the preamble, where it is stated that the protection of personal data is not an absolute right and that it must be considered in relation to its function in society and balanced against other fundamental rights, there should be no doubt that the protection of personal data has a high legal status in the EU. In broad terms, the GDPR could be regarded as an updating of the concept of protection of human rights and freedoms to the realities of the online era. The extent of processing of personal data in the world of today is huge and it continues to grow rapidly. In the GDPR, that processing is regarded as a risk to natural persons’ rights and freedoms.  However, all processing of personal data does not pose the same level of risk to natural persons’ rights and freedoms. The logic of this point has paved the way for the risk-based approach, which plays an important role in determining the responsibilities of the controller and the processor in each individual data processing. The risk-based approach can be expressed as the higher the risk, the higher the security must be. Or, in other words, security measures must follow risk level. The subject matter of this essay is the concept of data protection impact assessment (DPIA), which is regulated by Article 35 of the GDPR. At a certain level of risk, the controller is obliged to carry out a DPIA. There are legal demands to be met, but no explicit method is laid down in the Regulation. The Data Protection Authorities (DPA) of England and France have each developed a method to comply with the demands of Article 35. These methods are examined and their effectiveness in reaching that objective are assessed. The DPA:s of Germany have developed a method to technically operationalize data protection legislation. This method is presented and examined and its capacity as a tool to carry out a DPIA is also assessed. The essay contains two proposals. One in section 2.4 which attempts to clarify the meaning of four commonly used words in data protection terminology. The second proposal is in section 4.1. It compares the legal obligations to be met by data processing that activates the need for a DPIA to the legal obligations of those that do not. The proposal tries to define a work flow which minimizes the extra work if a DPIA has to be carried out. / Konsekvensbedömningar avseende dataskydd är en nyhet inom dataskyddslagstiftning. I dem möts riskanalys och rättighetskrav. Konsekvensbedömningar används sedan tidigare på olika sätt inom andra områden, men för dataskyddslagstiftning är det en konceptuell nyhet. De introduceras i artikel 35 i EU:s nya dataskyddsförordning, även känd som GDPR. Artikel 35 är mycket omfattande och inte helt lättöverskådlig. Samtidigt är den från och med 25 maj 2018 gällande rätt. Det innebär att berörda parter, främst personuppgiftsansvariga och personuppgiftsbiträden, är skyldiga att veta vad artikel 35 innebär för deras del. Underlåtelse att utföra en konsekvensbedömning, eller ett felaktigt utförande, kan medföra administrativa sanktionsavgifter på upp till 10 000 000 euro.  Uppsatsen undersöker och redovisar förutsättningarna för att bygga en rättsligt kvalitetssäkrad modell avseende när och hur en konsekvensbedömning avseende dataskydd ska genomföras, vad den ska innehålla samt hur en sådan modell kan göras skalbar. Uppsatsen söker visa hur och till vilken grad berörda parter med säkerhet kan veta att de uppfyllt sina skyldigheter enligt artikel 35.

GDPR

DPIA

risk

dataskyddsförordningen

konsekvensbedömning

dataskydd

risk

rättslig kvalitetssäkring

Law

Juridik

Privacy by Design : Developing a Tool For Risk Assessment in a Data Protection Context

Nyberg, Samuel

January 2022

Privacy by design is one of the core principles of GDPR, but what role does design really serve here? This thesis project explores how interaction design methods can affect data privacy by prototyping a tool for risk assessment in a data protection context. With basis in user research, prototyping and usability testing, a design prototype is built as a suggestion for a new way to work with risk assessments. Findings show that there is a need for better usability when assessing risk in data protection, and that tools shaped according to user needs benefit risk assessments. At stake is our data privacy.

interaction design

user experience

software design

general data protection regulation

risk

risk management

risk assessment

dpia

Engineering and Technology

Teknik och teknologier