Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Vurdering av personvernkonsekvenser etter nytt regelverk

Når skal konsekvensvurderingen skje?

En vurdering av personvernkonsekvenser skal gjøres før behandlingen av personopplysninger starter.

Dersom det skal utvikles et nytt system, må vurderingen gjøres så tidlig som mulig i utviklingsprosessen og i hvert fall som en del av kravsettingen. I tillegg bør deler av konsekvensvurderingen gjennomføres underveis i utviklingsløpet. Dette vil sikre at en oppdager mulige endringer i risiko som må håndteres. 

Forordningen stiller krav om en vurdering av personvernkonsekvenser ved

  1. systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser
  2. behandling av sensitive personopplysninger i stort omfang
  3. systematisk overvåking av offentlig område i stort omfang

Listen er ikke uttømmende.

Det stilles krav om at Datatilsynet skal offentliggjøre en liste over hvilke typer behandlingsaktiviteter som krever en vurdering av personvernkonsekvenser. Det foreligger ingen slik liste ennå. Vi vil publisere den på vårt nettsted når den foreligger.

For å sikre harmonisering ved utøvelse av regelverket, har EUs rådgivende organ i personvernspørsmål, Artikkel 29-gruppen, utarbeidet en veiledning. Den lister opp ti kriterier for å avgjøre om en behandling vil kreve at man gjør en vurdering av personvernkonsekvenser.

Hvis dere svarer ja på to eller flere av spørsmålene om den planlagte behandlingen, er det sannsynlig at dere må gjøre en vurdering av personvernkonsekvenser: 

  1. Er behandlingen en evaluering eller poengvurdering?
  2. Omfatter den automatiserte avgjørelser?
  3. Innebærer den systematisk overvåking?
  4. Involverer den sensitive personopplysninger?
  5. Dreier det seg om en behandling av personopplysninger i stor skala?
  6. Vil to eller flere datasett sammenstilles?
  7. Omfatter den personopplysninger om registrerte med særskilt beskyttelsesbehov?
  8. Tar den i bruk ny teknologi eller brukes eksisterende teknologi til nye formål?
  9. Omfatter den overføring til land utenfor EU/EØS?
  10. Vil konteksten for behandlingen begrense muligheten de registrerte har til å utøve sine rettigheter?

Dersom en behandling oppfyller færre enn to kriterier, kan det hende det ikke er behov for en konsekvensvurdering.