Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Hva betyr de nye personvernreglene for din virksomhet?

Alle skal vurdere risiko og personvernkonsekvenser

Noen virksomheter må etter det nye regelverket utrede personvernkonsekvensene av et tiltak i tillegg til å gjennomføre risikovurderinger. Dette gjelder i tilfeller der tiltaket utgjør et stort inngrep i personvernet.

I enkelte tilfeller skal også Datatilsynet involveres i forhåndsdrøftelser.

Utredning av personvernkonsekvenser

Plikten til utrede personvernkonsekvensene (konsekvensanalyse) inntrer når dere planlegger en behandling av personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, som retten til personvern. I vurderingen av om det er nødvendig med en slik utredning skal dere ta hensyn til arten, omfanget, sammenhengen og formålet med behandlingen. Dere må også ta hensyn til om dere benytter ny teknologi.

Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser:

  1. systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser
  2. behandling av sensitive personopplysninger i stort omfang
  3. systematisk overvåking av offentlig område i stort omfang

Konsekvensanalysen skal som et minimum inneholde:

  • en systematisk beskrivelse av behandlingen, dens formål og eventuelt hvilken berettiget interesse den ivaretar
  • en vurdering av om behandlingen er nødvendig og forholdsmessig, sett opp mot formålet
  • en vurdering av risikoen behandlingen har for personers rettigheter, herunder retten til personvern
  • hvilke tiltak som skal settes i verk mot risikoen som er identifisert

Dersom virksomheten har personvernombud, skal han eller hun involveres i utredningen. Noen ganger skal også den behandlingsansvarlige innhente de registrertes synspunkter og innspill.

Dersom det er nødvendig, og i alle fall hvis risikoen endrer seg, skal den behandlingsansvarlige på nytt gå gjennom hvordan behandlingen gjøres  for å sikre at konsekvensanalysen fortsatt er riktig.

Det vil være unntak for plikten til utrede for enkelte behandlinger med hjemmel i lov.

Reglene står i forordningens artikkel 35.

Forhåndsdrøftelser med Datatilsynet

Vi skal involveres i forhåndsdrøftelser dersom konsekvensanalysen viser at behandlingen dere skal gjøre gir høy risiko, og at risikoen ikke kan reduseres ved hjelp av interne tiltak. 

Når vi involveres, skal virksomheten som et minimum gi oss informasjon om:

  • ansvarsforhold mellom behandlingsansvarlige og databehandlere,
  • formålet med behandlingen og virkemidlene som skal benyttes i behandlingen,
  • hvilke sikkerhetstiltak som skal iverksettes for å sikre at de registrertes rettigheter ivaretas,
  • kontaktopplysninger til eventuelt personvernombud
  • konsekvensanalysen dere har gjennomført

Vi kan gi råd om hva virksomheten skal gjøre dersom vi mener at behandlingen er i strid med forordningen, eller at virksomheten ikke i har identifisert risikoer eller redusert dem i tilstrekkelig grad. Vi kan eventuelt ilegge sanksjoner, som å forby den aktuelle behandlingen.

Vi har plikt til å gi skriftlig veiledning til den behandlingsansvarlige eller databehandleren som ber om en forhåndsdrøftelse Veiledningen skal finne sted innen åtte uker. I mer omfattende, komplekse saker, kan denne fristen forlenges med opptil 6 uker. Dette betyr at vi skal reagere raskt på slike forespørsler, slik at planlagte behandlinger ikke blir unødig forsinket av at Datatilsynet skal involveres.

Reglene følger av forordningens artikkel 36.