Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Vurdering av personvernkonsekvenser etter nytt regelverk

Krav til innholdet i vurderingen

Hva må en vurdering av personvernkonsekvenser inneholde, og er den offentlig?

Vurderingen skal som et minimum inneholde:

  1. En systematisk beskrivelse av de planlagte behandlingsaktivitetene, formålene med behandlingen, og eventuelt hvilken berettiget interesse den ivaretar.
  2. En vurdering av om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålene.
  3. En vurdering av risikoen behandlingen har for de registrertes rettigheter og friheter.
  4. Beskrivelse av planlagte tiltak for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre at personopplysningene vernes og å påvise at forordningen overholdes.

Dersom det er relevant, skal den behandlingsansvarlige innhente de registrertes synspunkter på den planlagte behandlingen.

Det stilles ikke krav om at den skal offentliggjøres, men vi anbefaler at den gjøres tilgjengelig helt eller delvis. Det vil være en del av virksomhetens åpenhet om sin behandling av personopplysninger.  

Dersom det er behov for en forhåndsdrøftelse, skal vurderingen sendes til Datatilsynet.

Reglene står i artikkel 35.