Personvernkonsekvensvurdering – DPIA
Dersom det er sannsynlig at en type behandling av personopplysninger vil medføre høy risiko for folks rettigheter og friheter, skal den behandlingsansvarlige vurdere hvilke konsekvenser den planlagte behandlingen vil ha for personvernet. Dette gjelder særlig ved bruk av ny teknologi.
Det kan være en utfordring å fastslå med sikkerhet når det foreligger høy risiko. Når dette er usikkert, anbefaler Datatilsynet at man gjennomfører en personvernkonsekvensvurdering, også kalt DPIA. Dette kan være et godt verktøy for å sikre at også de øvrige kravene i personvernforordningen følges.
Datatilsynet har utarbeidet en liste over behandlingsaktiviteter som alltid krever at det gjennomføres en vurdering av personvernkonsekvenser. Fra denne listen er følgende elementer relevante for verktøyet Secure Practice utvikler:
- Behandling av personopplysninger med kunstig intelligens, som er innovativ teknologi.
- Behandling av personopplysninger for systematisk monitorering av ansatte.
- Behandling av personopplysninger, der formålet er å tilby en tjeneste eller utvikle produkter for kommersiell bruk, som involverer å forutsi jobbprestasjoner, økonomi, helse, personlige preferanser eller interesser, pålitelighet, adferd, lokasjon eller bevegelsesmønster. (Særlige kategorier av personopplysninger eller svært personlige opplysninger og evaluering/poengsetting).
Sandkassa konkluderte derfor med at bruk av verktøyet til Secure Practice krever en vurdering av personvernkonsekvenser. Det er den behandlingsansvarliges ansvar at en DPIA gjennomføres. I praksis betyr dette at virksomheter som kjøper den nye tjenesten av Secure Practice, også må gjøre en DPIA.
For mange små og mellomstore virksomheter kan det være krevende å gjennomføre en tilstrekkelig vurdering rundt personvernkonsekvensene av et verktøy som baserer seg på kunstig intelligens. Dette forutsetter blant annet kjennskap til personvernregelverket og andre grunnleggende rettigheter, kunstig intelligens og kjennskap til systemets logikk i tillegg til særegne forhold på den enkelte arbeidsplass.
Utfordrende asymmetri
Det asymmetriske forholdet mellom kunde og tjenestetilbyder gir seg ofte til kjenne i det digitale samfunnet. Satt på spissen, kan det av og til virke som om leverandøren setter krav til kunden fremfor omvendt. En tilsvarende dynamikk kan også finnes mellom en tilbyder av KI-tjenester og kunde. I denne situasjonen vil tilbyder også inneha rollen som fagekspert, som kan belyse både fordeler og ulemper med teknologien de omsetter.
Datatilsynet og Secure Practice var enige om at ansvarlig bruk av KI forutsetter en behandlingsansvarlig med et godt informasjonsgrunnlag, som setter den behandlingsansvarlige i stand til å gjennomføre de riktige vurderingene. På bakgrunn av dette besluttet sandkassa å inkludere vurdering av personvernkonsekvenser i prosjektet.
Det er viktig å presisere at det ikke er tilstrekkelig å vurdere personvernkonsekvensene av et verktøy i seg selv. Vurderingen skal også ta høyde for hvilken sammenheng verktøyet blir brukt i. Denne sammenhengen vil ofte variere fra kunde til kunde, og hvilken del av landet (eller verden) kunden holder til i. Det betyr at Secure Practice kan gjøre en del av utredningsarbeidet for kunden på forhånd, men vurderingene for hvert konkrete forhold må kunden gjøre selv.
For Datatilsynets del var det viktig å kunne bidra med effektiv veiledning i prosessen for vurdering av personvernkonsekvenser, uten at rådene etterlot så lite manøvreringsrom at de utfordret Secure Practice' eierskap til prosessen. Dette var spesielt viktig ettersom tjenestens utvikling var i en tidlig fase, da Datatilsynet ga tilbakemeldinger. Secure Practice arrangerte selv en workshop for vurdering av personvernkonsekvensene sammen med Datatilsynet, og gjorde deretter jobben med å dokumentere resultatene.
Datatilsynets tilbakemelding
Datatilsynet gav tilbakemelding om ulike problemstillinger knyttet til potensielle personvernkonsekvenser og utformingen av selve vurderingen:
- Å publisere vurderingen av personvernkonsekvensene på nett kan være ett av flere tiltak for å legge til rette for en åpen behandling av personopplysninger. Å publisere vurderingen er i seg selv ikke godt nok til å vareta informasjonsplikten. Den registrerte skal informeres på en kortfattet, åpen, forståelig og lett tilgjengelig måte.
- Det er viktig å sikre rutiner slik at personvernerklæringen og vurderingen av personvernkonsekvenser oppdateres parallelt. Det vil si at endringer og nye løsninger som implementeres i produksjonsløsningen må gjenspeiles og håndteres i vurderingen av personvernkonsekvenser og i personvernerklæringen når det er relevant.
- Det er viktig å unngå for vage og brede formuleringer. Beskrivelsene bør være så presise som mulig, slik at det er mulig å se hva som er vurdert. Det må fremstå tydelig hva som er gjenstand for vurdering.
- Budskap som er rettet mot kunden (virksomhet) må unngå formuleringer som kan forveksles med det rettslige grunnlaget for behandlingen av arbeidstakers personopplysninger. Det var særlig aktuelt der kundens avtale med Secure Practice ble nevnt, og dette kunne forveksles med henvisning til personvernforordningen artikkel 6 nr. 1 bokstav b («behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i […]»).
- Terskelverdier for konsekvens og sannsynlighet må ta særlig hensyn til risikoen for den enkelte registrerte, og at en vurdering av personvernkonsekvenser ikke utelukkende dreier seg om hvor mange som blir berørt, men også konsekvensene for den enkelte registrerte.
- Datatilsynet anbefalte at risikoen for den registrertes friheter og rettigheter utredes nærmere med hensyn til den tiltenkte ansvarsfordelingen mellom Secure Practice og virksomheten. Dette kan tydeliggjøre både rolle- og ansvarsfordeling for den registrerte.
Tilbakemeldingene på personvernkonsekvensvurderingen over er fokusert på bruksfasen. Vi nevner til slutt at Secure Practice også må vurdere personvernkonsekvensene for etterlæringsfasen, der de har selvstendig behandlingsansvar.