Vurder personvernkonsekvensene og bygg personvern inn i løsningene

Det er to krav i personvernopplysningsloven som er spesielt relevante for virksomheter som tar i bruk kunstig intelligens: kravet om innebygd personvern og vurdering av personvernkonsekvenser.

Innebygd personvern

Den behandlingsansvarlige skal bygge personvern inn i løsningene sine og sørge for at personvernet er ivaretatt i standardinnstillingene. Disse kravene er beskrevet i artikkel 25 i forordningen og gjelder ved utvikling av programvare, bestilling av nye systemer, løsninger og tjenester - og videreutvikling av disse.

Regelverket krever at det tas hensyn til personvern i alle utviklingsfaser av et system, i rutiner og i den daglige bruken. Standardinnstillinger skal settes mest mulig personvernvennlige, og man skal bygge inn personvernhensyn allerede i utviklingsfasen av løsningen.  Prinsippet om dataminimering nevnes uttrykkelig i bestemmelsen om innebygd personvern.

Vurdering av personvernkonsekvenser

Alle som behandler personopplysninger har en plikt til å vurdere risikoen knyttet til behandlingen. Dersom en virksomhet mener at en planlagt behandling sannsynligvis vil utgjøre en høy risiko for enkeltpersoners rettigheter og friheter, har den plikt til å gjennomføre en vurdering av personvernkonsekvenser (DPIA). Dette er beskrevet i forordningens artikkel 35.

Når risikoen vurderes, skal det tas hensyn til art, omfang, sammenheng og formål med behandlingen. Det må også tas hensyn til om det benyttes ny teknologi. Det er dessuten et krav om å utrede personvernkonsekvenser når det gjøres en systematisk og omfattende vurdering av personlige forhold i de tilfellene opplysningene brukes til automatiserte avgjørelser, eller når det behandles særskilte kategorier av personopplysninger (sensitive personopplysninger) i stort omfang. Systematisk overvåking av offentlig område i stort omfang forutsetter også dokumentasjon for at en vurdering av personvernkonsekvenser er blitt gjennomført.

Konsekvensanalysen skal som et minimum inneholde:

  • en systematisk beskrivelse av behandlingen, dens formål og eventuelt hvilken berettiget interesse den ivaretar
  • en vurdering av om behandlingen er nødvendig og forholdsmessig, sett opp mot formålet
  • en vurdering av risikoen behandlingen har for personers rettigheter, herunder retten til personvern
  • hvilke tiltak som skal settes i verk mot risikoen som er identifisert

Les vår veileder om vurdering av personvernkonsekvenser (DPIA) 

Datatilsynet skal involveres i forhåndsdrøftelser dersom konsekvensanalysen viser at den planlagte behandlingen kan utgjøre en høy risiko for de registrerte, og at risikoen ikke kan reduseres ved at den behandlingsansvarlige iverksetter tiltak (forordningen artikkel 36).

14