Hvordan gjennomføre en DPIA?

Det finnes ulike metoder for å gjennomføre en vurdering av personvernkonsekvenser (DPIA), men de har noen felles kriterier.

I forordningen fastsettes noen minimumskriterier for hva en vurdering av personvernkonsekvenser skal inneholde (artikkel 35 nr. 7):

a) En systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen.

b) En vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene.

c) En vurdering av risikoene for de registrertes rettigheter og friheter

d) De planlagte tiltakene for å håndtere risikoene og for å påvise at forordningen overholdes.

I tillegg er ansvarlighet et viktig personvernprinsipp, så til slutt må man bedømme og evaluere, og eventuelt godkjenne. I denne fasen har ledelsen eller styret den viktigste rollen. Arbeidet skal sammenstilles og funn presenteres for ledelsen. 

Figuren under oppsummerer og illustrerer den alminnelige, gjentakende prosessen ved gjennomføring av en vurdering av personvernkonsekvenser:

 Trinnene i DPIA

Adferdsnormer, sertifiseringer og lignende må tas i betraktning

Når personvernkonsekvensene av en behandlingsaktivitet vurderes, må etterlevelse av atferdsnorm/bransjenorm tas i betraktning (artikkel 35 nr. 8). Dette kan være nyttig for å påvise at man har valgt eller iverksatt tilstrekkelige tiltak, forutsatt at atferdsnormen/bransjenormen er hensiktsmessig og relevant for behandlingen. 

Sertifiseringer, segl og merker med den hensikt å påvise at den behandlingsansvarlige og databehandleres behandling er i samsvar med forordningen, samt bindende virksomhetsregler, bør også tas i betraktning.

Kravene i forordningen utgjør en allmenn ramme

Alle relevante krav i forordningen, utgjør en bred, allmenn ramme for utforming og gjennomføring av en vurdering av personvernkonsekvenser. Den praktiske gjennomføringen av en DPIA er avhengig av kravene i forordningen, og kan kompletteres med mer detaljert praktisk veiledning. Derfor er gjennomføringen av en vurderingen skalerbar. Dette innebærer at også mindre behandlingsansvarlige kan utforme og gjennomføre en DPIA som er tilpasset deres behandlingsaktiviteter.

Uttrykt i terminologi fra risikostyring tar en DPIA sikte på å «håndtere risikoer» for fysiske personers rettigheter og friheter gjennom å:

  1. Fastslå sammenheng: «i det det tas hensyn til behandlingens art, omfang, formål, sammenhengen den utføres i, og kildene til risikoen»
  2. Vurdere risikoene: «vurdere sannsynligheten for at det vil oppstå høy risiko, samt alvorlighetsgraden av denne»
  3. Håndtere risikoene: «begrense risikoen», «sikre vern av personopplysningene» og «påvise at denne forordning overholdes».

Fleksibilitet for den behandlingsansvarlige

Forordningen gir den behandlingsansvarlige en fleksibilitet til å fastsette nøyaktig struktur og form på vurderingen av personvernkonsekvenser, slik at den passer øvrig arbeidsmetodikk og verktøy. Det finnes et antall ulike etablerte prosesser i EU så vel som globalt som tar hensyn til de komponentene som beskrives i fortalepunkt 90. Likevel skal en vurdering av personvernkonsekvenser – uansett form – være en unik risikovurdering som gjør det mulig for den behandlingsansvarlige å implementere tiltak for å håndtere risikoene.

Anbefaler spesifikke rammeverk

Artikkel 29-gruppen oppmuntrer til utvikling av sektorspesifikke rammeverk for vurderinger av personvernkonsekvenser. Spesifikk bransjekunnskap er nyttig og medfører at vurderingene kan adressere de særegenskaper som foreligger ved en viss type behandling (slik som visse typer av opplysninger, forretningsmessige verdier, mulige konsekvenser, trusler eller målinger). Dette innebærer at en DPIA kan håndtere spørsmål som kommer opp innen bestemte økonomiske sektorer, ved bruk av bestemte teknologier eller ved utførelse av bestemte typer behandlinger.

Ikke obligatorisk, men tillitsvekkende med offentliggjøring

Det er ikke et rettslig krav å offentliggjøre vurderingen av personvernkonsekvenser. Den behandlingsansvarlige bør likevel som et minimum overveie å offentliggjøre deler av vurderingen da det kan være tillitsskapende. En komplett vurdering av personvernkonsekvenser skal i alle tilfelle formidles Datatilsynet ved forhåndsdrøftelse eller på anmodning fra oss.

Formålet med en slik prosess er å bidra til å skape tillit til den behandlingsansvarliges behandlinger, vise ansvar og gjennomsiktighet. Det er spesielt god praksis å offentliggjøre en vurdering av personvernkonsekvenser om behandlingen når offentligheten er berørt. Dette kan særlig være tilfelle dersom det er en offentlig myndighet som gjennomfører vurderingen.

Den offentliggjorte vurderingen behøver ikke inneholde hele vurderingen, særlig hvis den kan ha  spesifikk informasjon om sikkerhetsrisikoer hos den behandlingsansvarlige eller kompromittere forretningshemmeligheter eller forretningssensitiv informasjon. I slike tilfeller kan den offentliggjorte versjonen være en oppsummering av de viktigste funnene i vurderingen av personvernkonsekvenser eller en uttalelse om at en slik vurdering er gjennomført.

Om en DPIA avslører en høy restrisiko, har den behandlingsansvarlige plikt til å be om en forhåndsdrøftelse med Datatilsynet før behandlingen starter (artikkel 36 nr. 1). Som ledd i denne prosessen skal hele vurderingen legges frem for oss (artikkel 36 nr. 3 bokstav e). Vi kan i da gi råd om hvordan risikoen kan reduseres. Vi vil ikke avsløre forretningshemmeligheter eller svakheter i sikkerheten.