DPIA enligt GDPR Art. 35

Vad är en DPIA?

DPIA (Data Protection Impact Assessment) är en process för att identifiera och minimera risker med en behandling av personuppgifter innan behandlingen påbörjas. Kravet finns i GDPR Art. 35 och är en direkt koppling till principen om inbyggt dataskydd och dataskydd som standard (Art. 25).

Syftet är tre saker: att bedöma om behandlingen är nödvändig och proportionerlig, att identifiera risker för registrerade, och att dokumentera de åtgärder som vidtagits för att hantera riskerna. Dokumentationen utgör en central del av ansvarsskyldigheten enligt Art. 5.2.

När krävs DPIA?

Art. 35.1 kräver DPIA när en behandling sannolikt leder till hög risk för de registrerades rättigheter och friheter. Art. 35.3 pekar ut tre specifika fall där DPIA alltid krävs:

• Systematisk och omfattande utvärdering av personliga aspekter genom automatiserat beslutsfattande, inklusive profilering, som får rättsverkningar eller på motsvarande betydande sätt påverkar fysiska personer
• Storskalig behandling av känsliga personuppgifter (Art. 9) eller personuppgifter om lagöverträdelser (Art. 10)
• Systematisk övervakning av en offentlig plats i stor skala

IMY:s svenska lista

IMY har publicerat en lista per Art. 35.4 över svenska behandlingar som alltid kräver DPIA. Listan uppdateras löpande. Per april 2026 omfattar den bland annat:

• Biometrisk identifiering i storskaliga system
• Behandling av känsliga personuppgifter eller uppgifter av högst privat natur i stor skala
• Kamerabevakning på platser dit allmänheten har tillträde
• Behandling av uppgifter om sårbara personer, till exempel barn i skola eller vård, asylsökande, äldre
• Behandling som kombinerar, korsrefererar eller sammanlänkar flera datakällor som insamlats för andra ändamål
• Behandling av positionsdata i stor skala
• Innovativ teknik som AI, profilering och prediktiv analys av beteende

EDPB:s niopunktstest

WP248 (antagen av EDPB) ger en praktisk lista med nio kriterier. Om en behandling uppfyller två eller fler kriterier anses den typiskt medföra hög risk och kräva DPIA:

• Utvärdering eller poängsättning, inklusive profilering och prediktion
• Automatiserat beslutsfattande med rättsverkningar eller liknande betydande effekt
• Systematisk övervakning
• Känsliga personuppgifter eller uppgifter av högst privat karaktär
• Storskalig behandling
• Kombination eller matchning av datamängder
• Uppgifter om sårbara registrerade
• Innovativ användning eller tillämpning av nya tekniska eller organisatoriska lösningar
• Behandling som hindrar registrerade från att utöva en rättighet eller använda en tjänst

Vad ska en DPIA innehålla?

Art. 35.7 kräver att DPIA åtminstone innehåller följande fyra delar:

• Systematisk beskrivning. Av den planerade behandlingen, dess ändamål och personuppgiftsansvariges eventuella berättigade intresse.
• Bedömning av nödvändighet och proportionalitet. Är behandlingen nödvändig för ändamålet? Finns mindre integritetskränkande alternativ?
• Bedömning av risker. För de registrerades rättigheter och friheter, inklusive sannolikhet och allvarlighet.
• Åtgärder för att hantera riskerna. Tekniska och organisatoriska säkerhetsåtgärder, skyddsmekanismer och rutiner för att säkerställa skyddet.

DPIA och AI Act FRIA: två separata men överlappande krav

För AI-system som behandlar personuppgifter gäller både GDPR Art. 35 (DPIA) och AI Act Art. 27 (FRIA, Fundamental Rights Impact Assessment) parallellt.

DPIA (GDPR Art. 35). Fokus på risk för registrerade när personuppgifter behandlas. Krävs för alla personuppgiftsansvariga.

FRIA (AI Act Art. 27). Fokus på risk för grundläggande rättigheter när högrisk-AI-system används. Krävs för offentliga deployers och vissa privata deployers (bank, försäkring) av högrisksystem.

Dokumenten överlappar. En väl genomförd DPIA för ett AI-system fångar ofta merparten av FRIA-punkterna. Många organisationer bygger en gemensam mall som fångar båda kraven parallellt, men som kan spåras separat. IMY är tillsynsmyndighet för DPIA och primär marknadskontrollmyndighet för FRIA, vilket gör den gemensamma rapportstrukturen praktisk.

Processen i praktiken

En typisk DPIA genomförs i sex steg:

• Beslut om DPIA. Systemägare, DPO och dataskyddssamordnare bedömer om DPIA krävs. Beslutet dokumenteras oavsett utfall.
• Projektstart. Scope, tidplan och deltagare definieras. Ofta omfattar arbetet produktägare, IT-säkerhet, juridik och DPO.
• Kartläggning. Behandlingen beskrivs systematiskt: datakällor, mottagare, lagring, överföring till tredjeland, behandlingsgrund.
• Riskanalys. Identifierade risker bedöms utifrån sannolikhet och allvar. Verktyg som CNIL PIA eller IMY:s mall kan användas.
• Åtgärder. Tekniska och organisatoriska åtgärder kopplas till varje identifierad risk.
• Beslut och övervakning. Personuppgiftsansvarig godkänner DPIA. Samrådsplikt med IMY enligt Art. 36 gäller om restrisken fortfarande är hög efter åtgärder. Behandlingen följs upp och DPIA uppdateras vid förändringar.

Samrådsplikt med IMY

Art. 36 kräver samråd med IMY innan behandlingen påbörjas, om DPIA visar att behandlingen skulle leda till hög risk även efter planerade åtgärder. Samrådsplikten är en säkerhetsventil: IMY kan ge råd, begära ändringar eller förbjuda behandlingen.

I praktiken aktualiseras samrådsplikten sällan. Om den gör det innebär det att DPIA:n identifierar betydande kvarvarande risk som inte kan mitigeras. Offentliga myndigheter som planerar storskalig biometri eller AI-baserade beslutssystem är de vanligaste fallen.

Dokumentation och granskning

DPIA ska granskas och uppdateras vid behov. Art. 35.11 kräver att personuppgiftsansvarig granskar DPIA åtminstone när det sker en förändring av risken som behandlingen innebär.

Praktiska triggrar för ny granskning:

• Väsentlig ändring av behandlingen (nya datakällor, nya ändamål, ny teknik)
• Byte av leverantör eller biträde
• Nytt beslut från EDPB eller IMY som påverkar bedömningen
• Inträffad incident som visar att skyddsåtgärderna varit otillräckliga
• Regulatoriska nyheter (t.ex. nya krav enligt AI Act eller uppdaterad IMY-lista)