Når er det «høy risiko»?

Vi utdyper her hva begrepet «høy risiko» betyr, og hvilke spørsmål virksomheten må stille for å ta stilling til om deres behandlinger av personopplysninger har høy risiko.

Personvernforordningen artikkel 35 slår som nevnt fast at en vurdering av personvernkonsekvenser skal gjennomføres når det er sannsynlig at en viss type behandling av personopplysninger medfører høy risiko for at de registrertes rettigheter og friheter etter forordningen ikke ivaretas. Hvilken typen behandling dette gjelder, er ikke nærmere beskrevet.

Enhver behandling av personopplysninger innebærer en viss risiko for at rettigheter og friheter etter personvernforordningen ikke ivaretas. Plikten til å gjennomføre en vurdering av personvernkonsekvenser gjelder heller ikke for enhver risiko. Risikoen skal være «høy». Det er konsekvensen og sannsynligheten for avvik fra målet (ivaretagelse av rettigheter og friheter) som skal vurderes som større enn normalt.

Dette omtales også i fortalen punkt 76:

«Hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Risikoen bør vurderes ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en risiko eller en høy risiko».

Momenter i vurderingen av om en behandling av personopplysninger utgjør en høy risiko er følgende (vi vil gå nærmere gjennom disse fire vurderingskriteriene under):

  • behandlingens art
  • behandlingens omfang
  • behandlingens formål
  • sammenhengen behandlingen utføres i (kontekst)

Det betyr at visse typer behandling av personopplysninger anses å innebære en mer alvorlig inngripen i personvernet enn andre. Det er fordi:

  1. personopplysningene som behandles er av en særskilt sensitiv karakter
  2. måten personopplysningene behandles på utgjør et særskilt inngrep i de registrertes rettigheter og friheter

Behandlingens art

For å si noe om hvilken art en bestemt behandling av personopplysninger er, så må behandlingens iboende karakteristikk beskrives.

  • Er det en behandling som gjør det lett eller vanskelig for de registrerte å utøve sine rettigheter?
  • Er det en behandling som fra den registrertes synsvinkel preges av uforutsigbarhet og lite åpenhet?
  • Er det usikkerhet knyttet til hvordan grunnleggende prinsipper for behandling av personopplysninger ivaretas, jf. artikkel 5?

En behandlingsmåte som omtales flere steder i forordningen er «systematisk behandling av personopplysninger». Begrepet «systematisk» er ikke definert i forordningsteksten, men Artikkel 29-gruppen har fortolket det som en behandling som fyller en av de følgende bekrivelsene. Behandlingen:

  • skjer i henhold til et system
  • er forhåndsarrangert (planlagt) organisatorisk eller metodisk
  • skjer som følge av en plan om å samle inn personopplysninger
  • skjer som en del av en strategi

Grunnen til at systematisk behandling av personopplysninger anses som særskilt inngripende er at den skjer kontinuerlig (fanger opp mye personopplysninger) og kan fremstå som lite forutsigbar for de som det behandles personopplysninger om. Innsamlingen skjer gjerne på en slik måte at de registrerte ikke er klar over at deres opplysninger registreres, hvem som gjør det eller hvordan opplysningene brukes. I noen tilfeller er det heller ikke mulig å unngå å bli inkludert, eller registrert, fordi området som monitoreres er offentlig (for eksempel Oslo S og Oslo lufthavn).

Hvilke kategorier av personopplysninger som behandles kan også være en del av beskrivelsen av behandlingens art. Hvis behandlingen omfatter personopplysninger som er definert som «særlige kategorier» i artikkel 9, personopplysninger om straffbare handlinger i artikkel 10, elektronisk kommunikasjon, lokasjonsdata, opplysninger om privatøkonomi, «life-logging applications» også videre. Dette vil i tilfelle være moment som taler for at risikoen kan være høy.

En annen type behandling som sier noe om art, er behandling av personopplysninger når maktforholdet mellom behandlingsansvarlig og den registrerte er skjevt. Med skjev maktbalanse menes det i denne sammenheng at det ikke er enkelt for den registrerte å samtykke, protestere på behandlingen eller utøve sine øvrige rettigheter.

Det er også relevant for behandlingens art om behandling av personopplysninger skjer ved bruk av ny teknologi eller ny bruk av eksisterende teknologi hvor personvernkonsekvenser ikke har vært vurdert.

Behandlingens omfang

Behandlinger av personopplysninger i stort omfang omtales ofte i forordningen som «stor skala». Heller ikke dette begrepet er definert i forordningsteksten, men vi finner noen holdepunkter for hva det innebærer i fortalen. Der står det at dette dreier seg om behandling av en betydelig mengde personopplysninger (mange variabler) som kan påvirke et stort antall registrerte (punkt 91).

Artikkel 29-gruppen uttaler at følgende faktorer bør vektlegges når det tas stilling til om en behandling av personopplysninger skjer i «stor skala»:

  • antall registrerte involvert (i tall eller prosentandel av utvalget)
  • volumet av data (antall variabler, detaljeringsgrad)
  • lagringstid (kort, tidsavgrenset, permanent)
  • geografisk omfang (lokalt, regionalt, nasjonalt, internasjonalt, globalt)

Behandlingens formål

For å ta stilling til graden av risiko, er det relevant å vektlegge hva personopplysningene, etter planen, skal brukes til. Dersom formålet med bruken er av en slik art at det kan resultere i en inngripen i den private sfære, kan det være moment som taler for at risikoen er høy. Eksempler på formål som er av en inngripende art er:

  • kontrollformål (for eksempel skatt, NAV, toll, politi, forsikring)
  • formålet er å treffe avgjørelser om enkeltpersoner basert på systematisk og omfattende analyse av personlige aspekter
  • behandling av personopplysninger som har som mål å ta beslutninger som får betydning for den registrerte

Sammenhengen behandlingen utføres i (kontekst)

Hvilken sammenhengen en behandling utføres i, kan ha stor betydning for om de registrertes rettigheter og friheter er ivaretatt. I noen sammenhenger behandles det kun trivielle personopplysninger og det er i hovedsak den registrerte som har kontroll over opplysningene (for eksempel en matblogg). I andre sammenhenger behandles det sensitive personopplysninger og den registrerte har ingen medbestemmelse i hvilke opplysninger som registreres (for eksempel forsikring). Samtidig kan sistnevnte type behandlinger være gjennomregulert og derfor ferdig risikovurdert av lovgiver (for eksempel hvitvaskingsloven).

Sammenhenger som tilsier at risikoen kan være høy, er sammenhenger hvor den registrerte har en klar forventning om personvern knyttet til behandlingen av personopplysninger. Eksempler på slike sammenhenger er:

  • forventning om konfidensialitet (for eksempel helse, velferd og arbeidsforhold)
  • forventning om privatliv (for eksempel i hjemmet og på rekreasjon)
  • behandling av personopplysninger fra ulike datasett og som er innsamlet for ulike formål, for ulike behandlingsansvarlige. Dette kan være uoversiktlig og uforutsigbart for den registrerte.

Etter å ha beskrevet alle disse fire sidene ved en behandling må dere ta stilling til om noen av de iboende risikoelementene blir mindre på grunn av tiltak som er satt i verk for å redusere risikoen.

 

Artikkel 29-gruppens kriterier for å vurdere behov for DPIA

Artikkel 29-gruppen opererer med følgende ni kriterier for å få oversikt over behandlinger som krever en vurdering av personvernkonsekvenser på grunn av deres iboende høye risiko:

  1. Evaluering eller poengsetting, inkludert profilering og forutsigelse, spesielt «aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser» (fortalepunkt 71 og 91).
  2. Automatiske beslutninger med rettslig eller tilsvarende betydelig virkning. Behandling som har som formål å ta beslutninger om den registrerte som har «rettsvirkning for den fysiske personen» eller «på lignende måte i betydelig grad påvirker den fysiske personen» (artikkel 35 nr. 3 a). 
  3. Systematisk monitorering. Behandlingsaktiviteter som brukes for å observere, overvåke eller kontrollere de registrerte, inkludert opplysninger som har blitt samlet inn gjennom nettverk eller «en systematisk overvåking i stor skala av et offentlig tilgjengelig område» (artikkel 35 nr. 3 c). 
  4. Særlige kategorier av personopplysninger eller opplysninger av svært personlig karakter. Dette omfatter særlige kategorier av personopplysninger (tidligere kalt sensitive personopplysninger) som er definert i artikkel 9 (for eksempel informasjon om enkeltpersoners politiske meninger), samt personopplysninger vedrørende straffedommer og lovovertredelser som definert i artikkel 10. 
  5. Personopplysninger behandles i stor skala. Forordningen definerer ikke hva som menes med stor skala, selv om det gis en viss veiledning i fortalepunkt 91. Artikkel 29-gruppen anbefaler at følgende faktorer vurderes spesielt når man avgjør hvorvidt behandlingen gjennomføres i stor skala: 
    a. Antallet registrerte som berøres, enten som et spesifikt antall eller som en andel av den relevante populasjonen. 
    b. Mengden og/eller spennvidden i personopplysningene som behandles. c. Databehandlingens varighet eller regelmessighet.
    d. Behandlingens geografiske omfang.
  6. Matching eller sammenstilling av datasett som for eksempel stammer fra to eller flere databehandlingsoperasjoner som gjennomføres med ulike formål og/eller av ulike behandlingsansvarlige på en måte som overstiger den registrertes rimelige forventninger.
  7. Personopplysninger om sårbare registrerte. Behandling av denne typen av personopplysninger er et kriterium på grunn av den skjeve maktbalansen mellom de registrerte og den behandlingsansvarlige, som betyr at enkeltpersoner kan være ute av stand til, på en enkel måte, å gi sitt samtykke eller motsette seg behandlingen av sine personopplysninger eller utøve sine rettigheter. Sårbare registrerte kan omfatte barn (de kan anses å ikke være i stand til på en bevisst og gjennomtenkt måte å motsette seg eller gi samtykke til behandling av sine personopplysninger), arbeidstakere, mer sårbare befolkningsgrupper som behøver sosial beskyttelse (psykisk syke personer, asylsøkere, eldre personer, pasienter og så videre), samt i de situasjoner der det foreligger en ubalanse i forholdet mellom den registrerte og den behandlingsansvarlige.
  8. Innovativ bruk eller anvendelse av ny teknologisk eller organisatorisk løsning, som en kombinasjon av fingeravtrykk og ansiktsgjenkjenning for en forbedret fysisk adgangskontroll og så videre. Det går klart frem av forordningen (artikkel 35 nr. 1 og fortalepunkt 89 og 91) at bruk av ny teknologi som defineres «i samsvar med det oppnådde nivået av teknisk kunnskap» (fortalepunkt 91), kan medføre behov for å gjennomføre en vurdering av personvernkonsekvenser. Grunnen til dette er at anvendelse av ny teknologi kan medføre nye former for innsamling og bruk av personopplysninger, eventuelt med høy risiko for den enkeltes rettigheter og friheter. De personlige og sosiale konsekvensene ved anvendelsen av ny teknologi kan være ukjente. En vurdering av personvernkonsekvenser hjelper den behandlingsansvarlige å forstå og håndtere slike risikoer. For eksempel kan visse «tingenes internett»-applikasjoner få betydelige konsekvenser for den enkeltes dagligliv og privatliv, og kan derfor kreve en vurdering av personvernkonsekvenser.
  9. Når behandlingen «hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale» (artikkel 22 og fortalepunkt 91). Dette omfatter behandlinger som tar sikte på å tillate, endre eller nekte den registrerte tilgang til en tjeneste eller inngå en avtale. For eksempel når en bank kredittvurderer sine kunder mot en database for å avgjøre om de skal tilbys lån.

I de fleste situasjoner kan en behandlingsansvarlig anta at det skal gjøres en vurdering av personvernkonsekvenser dersom to av disse kriteriene er oppfylt. Artikkel 29-gruppen mener generelt at jo flere kriterier behandlingen oppfyller, desto mer sannsynlig er det at det foreligger en høy risiko, og at det derfor er et krav om å gjennomføre en DPIA – uavhengig av hvilke tiltak den behandlingsansvarlige har planer om å iverksette.

Likevel kan en behandlingsansvarlig, i gitte tilfeller, vurdere at en behandling som bare oppfyller ett av disse kriteriene, krever en vurdering av personvernkonsekvenser. Følgende eksempler illustrerer hvordan kriteriene bør anvendes for å vurdere hvorvidt én enkelt behandling krever en vurdering av personvernkonsekvenser:

 

I noen tilfeller vil en behandling svare til de situasjonene som er beskrevet ovenfor i tabellen, men den behandlingsansvarlige kan likevel vurdere at behandlingen sannsynligvis ikke «vil medføre en høy risiko». I slike situasjoner bør den behandlingsansvarlige begrunne og dokumentere hvorfor en vurdering av personvernkonsekvenser ikke gjennomføres, og inkludere/notere personvernombudets synspunkter.

Protokoll over behandlingsaktiviteter

Som en del av prinsippet om ansvarlighet, skal hver behandlingsansvarlig «føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar». Dette inkluderer blant annet formålet med behandlingen, en beskrivelse av kategoriene av personopplysningene og mottakere av personopplysningene og «dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1» (artikkel 30 nr. 1).

Ut fra dette skal den behandlingsansvarlige avgjøre hvorvidt en høy risiko er sannsynlig, også i de tilfellene der konklusjonen er at det ikke skal gjennomføres en vurdering av personvernkonsekvenser.