Företag behöver begära ett förhandssamråd i vissa fall enligt GDPR. Förhandssamråd sker med den nationella dataskyddsmyndigheten, och i Sverige är det Integritetsskyddsmyndigheten (IMY) som är den svenska dataskyddsmyndigheten. Däremot måste företag genomföra och dokumentera en konsekvensbedömning innan de begär ett förhandssamråd.
Företag behöver begära ett förhandssamråd i vissa fall
Det finns olika typer av konsekvensbedömningar som företag kan behöva göra innan en behandling av personuppgifter blir påbörjad. Konsekvensbedömningarna framgår mer detaljerat beskriva på webbplatsen www.AvtalGDPR.se som är en del av Digitala Juristerna.
Exempel på två olika konsekvensbedömningar är följande:
- konsekvensbedömning av dataöverföringar (på engelska är detta kallat för Data Transfer Impact Assessment, förkortat DTIA); och
- konsekvensbedömning av dataskydd (på engelska kallat för Data Protection Impact Assessment, förkortat DPIA).
- Dessutom kan företag behöva göra en bedömning av berättigat intresse. På engelska är denna bedömning kallad för Legitimate Interest Assessment, förkortat LIA.
Om ett företag utför en konsekvensbedömning, men fortfarande bedömer att risken för de registrerade fortfarande är hög gällande deras fri- och rättigheter, ska företaget begära ett förhandssamråd. Dessutom ska företaget vidta åtgärder för att begränsa riskerna.
IMY har enligt huvudreglen 8 veckor på sig att besvara en begäran om förhandssamråd enligt GDR. Men, de kan i vissa fall ha rätt att förlänga denna tidsfrist med ytterligare 6 veckor, exempelvis om det avser en komplex behandling av personuppgifter. Om IMY väljer att förläga tidsfristen för sitt svar, kommer de att informera företaget om detta inom den första månaden efter att begäran mottagits av myndigheten.
IMY kan förbjuda behandlingen efter ett förhandssamråd. De kan också ge skriftliga råd om hur företaget ska göra, istället för att förbjuda behandlingen.
