Return to search

Den riskbaserade metoden i GDPR : Särskilt om konsekvensbedömningar / The risk-based approach in GDPR : Data Protection Impact Assessments

On the 25th of May 2018, the new General Data Protection Regulation (GDPR) came into effect. Since that date, the GDPR applies directly as law in each of the European member states. The regulation will constitute substantial changes for data controllers who process personal data within their businesses, first and foremost because of the introduction of new material rules coming from the new accountability principle in article 5.2 GDPR. The accountability principle, explained briefly, sets out an obligation for the controller to be responsible for and be able to demonstrate compliance with the GDPR. The risk-based approach has been introduced to the GDPR to make the rules and principles of data protection law 'work better'. To accomplice this, the applicability of the GDPR provisions is now dependent on the risks that may occur from the processing of personal data, making the legal requirements of the controller scalable and proportionate. The aim of this thesis is to examine what the risk-based approach can add to achieve stronger data protection within the EU. For that purpose, the thesis initially studies the structure of the GDPR as well as the data protection principles. The thesis then looks at the basics of the risk-based approach and how the notion of risk has changed since the previous Data Protection Directive. The author then proceeds to an analysis of one of the new material provisions originating from the accountability principle: The obligation to carry out a Data Protection Impact Assessment (DPIA) for high risk processing. By analysing the obligation to carry out DPIA:s, the practical difficulties that can arise when applying the rules based on the notion of risk, is exposed. The findings suggest that the risk-based approach alone is not enough, but together with the empowering of each individual, the GDPR is likely to provide a stronger protection of personal data than the Data Protection Directive. / Den 25 maj 2018 trädde den nya dataskyddsförordningen (GDPR) i kraft och gäller sedan ikraftträdelsedagen direkt som lag i samtliga EU-medlemsländer. Förordningen kommer att innebära stora förändringar för de aktörer som behandlar personuppgifter. Framför allt på grund av de nya materiella regler som introduceras på grund av den nya principen om ansvarsskyldighet som stadgas i artikel 5.2 GDPR. Principen om ansvarsskyldighet innebär i korthet att den personuppgiftsansvarige är skyldig att ansvara för och kunna visa att förordningen efterlevs. Den riskbaserade metoden har introducerats för att GDPR:s regler och principer ska fungera bättre. Detta ska åstadkommas genom att göra tillämpligheten av dessa regler beroende av de risker som personuppgiftsbehandlingen innebär. På så sätt blir de legala skyldigheterna som den personuppgiftsansvarige träffas av skalbara och proportionerliga i förhållande till behandlingen. Uppsatsens huvudsakliga syfte är att undersöka vad den riskbaserade kan addera till ändamålet att skapa ett starkare dataskydd inom EU. För att göra detta undersöks inledningsvis GDPR:s struktur och de grundläggande dataskyddsprinciperna. Därefter undersöks vad den riskbaserade metoden innebär samt hur innebörden av risk har ändrats sedan dataskyddsdirektivet. I uppsatsen analyseras särskilt skyldigheten att utföra konsekvensbedömningar. Fördjupningen kring denna skyldighet syftar till att visa på de praktiska svårigheter som kan uppstå vid tillämningen av de materiella regler som bygger på risk. Författaren kommer slutligen fram till att den riskbaserade metoden ensamt inte är tillräcklig för att uppnå ett starkare dataskydd. Men tillsammans med individernas ökade kontroll över sina uppgifter kommer GDPR sannolikt att leda till ett starkare skydd för personuppgifter jämfört med dataskyddsdirektivet.

Identiferoai:union.ndltd.org:UPSALLA1/oai:DiVA.org:uu-356142
Date January 2018
CreatorsKrook, Mathilda
PublisherUppsala universitet, Juridiska institutionen
Source SetsDiVA Archive at Upsalla University
LanguageSwedish
Detected LanguageSwedish
TypeStudent thesis, info:eu-repo/semantics/bachelorThesis, text
Formatapplication/pdf
Rightsinfo:eu-repo/semantics/openAccess

Page generated in 0.0018 seconds