Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Vurdering av personvernkonsekvenser etter nytt regelverk

En vurdering av personvernkonsekvenser skal sikre at personvernet til de som er registrert i løsningen ivaretas. Dette endres fra å være en anbefalt praksis til å bli en plikt i de nye reglene.

Denne veilederen beskriver de nye kravene i regelverket. I løpet av året vil vi utarbeide en veileder i hvordan man kan gjøre en konsekvensvurdering.

Skriv ut veileder
Vurdering av personvernkonsekvenser etter nytt regelverk

Hva er en vurdering av personvernkonsekvenser?

Det er en systematisk prosess, som identifiserer og evaluerer potensielle personvernkonsekvenser fra alle interessenters synsvinkel i et prosjekt, initiativ, foreslått system eller prosess.



Den skal benyttes på nye produkter, tjenester, systemer. Det er særlig aktuelt å gjøre en slik vurdering når det tas i bruk ny teknologi.

Vurderingen inkluderer å finne ut hvordan man kan unngå trusler mot personvernet eller hvilke tiltak som må innføres for å avverge trusler mot personvernet.

Bestemmelsene knyttet til vurdering av personvernkonsekvenser står i artikkel 35 i den nye forordningen for personvern.

Hvem skal gjøre vurderingen?

Plikten til å sørge for en vurdering av personvernkonsekvenser ligger hos den behandlingsansvarlige. Selve oppgaven kan delegeres til andre.



Virksomheter med personvernombud skal be om råd fra ombudet. Det er også en av ombudets oppgaver å kontrollere gjennomføringen av konsekvensvurderinger.

Personvernombudets oppgaver knyttet til slike vurderinger er beskrevet i artikkel 39.

Dersom behandlingen som skal vurderes gjøres helt eller delvis av en databehandler, skal denne hjelpe den behandlingsansvarlige med å utføre konsekvensvurderingen. Databehandleren skal også sørge for å gi den behandlingsansvarlige nødvendig informasjon for å gjennomføre en slik vurdering.

Når skal konsekvensvurderingen skje?

En vurdering av personvernkonsekvenser skal gjøres før behandlingen av personopplysninger starter.



Dersom det skal utvikles et nytt system, må vurderingen gjøres så tidlig som mulig i utviklingsprosessen og i hvert fall som en del av kravsettingen. I tillegg bør deler av konsekvensvurderingen gjennomføres underveis i utviklingsløpet. Dette vil sikre at en oppdager mulige endringer i risiko som må håndteres. 

Forordningen stiller krav om en vurdering av personvernkonsekvenser ved

  1. systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser
  2. behandling av sensitive personopplysninger i stort omfang
  3. systematisk overvåking av offentlig område i stort omfang

Listen er ikke uttømmende.

Det stilles krav om at Datatilsynet skal offentliggjøre en liste over hvilke typer behandlingsaktiviteter som krever en vurdering av personvernkonsekvenser. Det foreligger ingen slik liste ennå. Vi vil publisere den på vårt nettsted når den foreligger.

For å sikre harmonisering ved utøvelse av regelverket, har EUs rådgivende organ i personvernspørsmål, Artikkel 29-gruppen, utarbeidet en veiledning. Den lister opp ni kriterier for å avgjøre om en behandling vil kreve at man gjør en vurdering av personvernkonsekvenser.

Hvis dere svarer ja på to eller flere av spørsmålene om den planlagte behandlingen, er det sannsynlig at dere må gjøre en vurdering av personvernkonsekvenser: 

  1. Er behandlingen en evaluering eller poengvurdering?
  2. Omfatter den automatiserte avgjørelser?
  3. Innebærer den systematisk overvåking?
  4. Involverer den sensitive personopplysninger?
  5. Dreier det seg om en behandling av personopplysninger i stor skala?
  6. Vil to eller flere datasett sammenstilles?
  7. Omfatter den personopplysninger om registrerte med særskilt beskyttelsesbehov?
  8. Tar den i bruk ny teknologi eller brukes eksisterende teknologi til nye formål?
  9. Vil konteksten for behandlingen begrense muligheten de registrerte har til å utøve sine rettigheter?

Dersom en behandling oppfyller færre enn to kriterier, kan det hende det ikke er behov for en konsekvensvurdering. 

Krav til innholdet i vurderingen

Hva må en vurdering av personvernkonsekvenser inneholde, og er den offentlig?



Vurderingen skal som et minimum inneholde:

  1. En systematisk beskrivelse av de planlagte behandlingsaktivitetene, formålene med behandlingen, og eventuelt hvilken berettiget interesse den ivaretar.
  2. En vurdering av om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålene.
  3. En vurdering av risikoen behandlingen har for de registrertes rettigheter og friheter.
  4. Beskrivelse av planlagte tiltak for å håndtere risikoene, herunder garantier, sikkerhetstiltak og mekanismer for å sikre at personopplysningene vernes og å påvise at forordningen overholdes.

Dersom det er relevant, skal den behandlingsansvarlige innhente de registrertes synspunkter på den planlagte behandlingen.

Det stilles ikke krav om at den skal offentliggjøres, men vi anbefaler at den gjøres tilgjengelig helt eller delvis. Det vil være en del av virksomhetens åpenhet om sin behandling av personopplysninger.  

Dersom det er behov for en forhåndsdrøftelse, skal vurderingen sendes til Datatilsynet.

Reglene står i artikkel 35.

Forhåndsdrøftelse ved høy risiko

Hvis risiko ikke kan reduseres, må dere kontakte Datatilsynet for en forhåndsdrøftelse. 



Hvis den behandlingsansvarlige ikke klarer å finne tilstrekkelige tiltak for å begrense risikoen for personvernet etter å ha gjennomført en konsekvensvurdering, må Datatilsynet kontaktes for en forhåndsdrøftelse.

Dersom Datatilsynet mener den planlagte behandlingen er i strid med regelverket, skal vi innen åtte uker gi skriftlige råd om hvordan den kan forbedres. Dette gjelder særlig der hvor den behandlingsansvarlige ikke i tilstrekkelig grad har identifisert eller redusert risikoen. Dersom behandlingen er kompleks, kan denne fristen forlenges med seks uker. Datatilsynet har også anledning til å forby behandlingen.

Reglene om forhåndsdrøftelse står i artikkel 36.

Vi utreder for tiden prosessen rundt forhåndsdrøftelse og resten av artikkel 36. Veiledning om dette vil publiseres her så snart det er klart.

Risikovurdering versus vurdering av personvernkonsekvenser

En risikovurdering er en vurdering av hvor sannsynlig det er at en uønsket hendelse skal skje.



Dette er et viktig element i virksomhetens plan for å ivareta informasjonssikkerheten. Det er derfor risikoen for en virksomhet og dens behandlinger som adresseres. Kort oppsummert gjøres det en vurdering av risiko ved brudd på sikring av konfidensialitet, integritet og tilgjengelighet.

En vurdering av personvernkonsekvenser etter forordningen dreier seg om å håndtere risiko for de registrertes rettigheter og friheter. I motsetning til risikovurderingen, ser den på konsekvensen for de registrerte. Artikkel 29-gruppen har tidligere kommet med en uttalelse om at referansen til de registrertes rettigheter og friheter primært omhandler retten til privatliv, men også omfatter andre fundamentale rettigheter slik som ytringsfrihet, tankefrihet, bevegelsesfrihet, likhet for loven, retten til frihet, samvittighet og religionsfrihet. Les hele Artikkel 29-gruppens uttalelse (engelsk, pdf)

 

Følgende modell kan brukes på å vurdere hva som ut i fra den registrertes perspektiv skal beskyttes. Den er hentet fra en artikkel om prosessen med å vurdere personvernkonsekvenser (pdf):

 

 

I modellen finner vi igjen perspektivene for informasjonssikkerhet: konfidensialitet, integritet og tilgjengelighet. I tillegg skal det tas hensyn til åpenhet (transparency), om det er muligheten til å gripe inn (intervenability), og at personopplysninger ikke kobles mellom ulike datasett (unlinkability).

Et eksempel på en problemstilling der denne modellen er nyttig å bruke er dersom man sikrer personopplysningene godt og ivaretar konfidensialitet, men ikke er åpen og gir informasjon om hvordan personopplysninger behandles (eller at de behandles). Da kan behandlingen være inngripende for den som er registrert. Det er fordi vi ikke vet hvilke personopplysninger som behandles, av hvem, om de deles videre med andre også videre. Dette kan igjen få konsekvenser for personvernet til de som eier opplysningene.