Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Vurdering av personvernkonsekvenser (DPIA)

Innledning

En vurdering av personvernkonsekvenser (DPIA) er en plikt (artikkel 35). Denne veilederen er laget for å hjelpe virksomheter med vurderingen av om en vurdering av personvernkonsekvenser skal gjennomføres, og hvordan de skal gå frem.



En vurdering av personvernkonsekvenser er en prosess som skal beskrive behandlingen av personopplysninger, og vurdere om den er nødvendig og proporsjonal. Den skal også bidra til å håndtere de risikoene behandlingen medfører for enkeltpersoners rettigheter og friheter ved å vurdere dem og fastlegge risikoreduserende tiltak.

Vurdering av personvernkonsekvenser er et viktig verktøy for ansvarlighet, ettersom det ikke bare hjelper den behandlingsansvarlige med å sikre samsvar med kravene i forordningen, men også med å dokumentere at det er gjort tilstrekkelige tiltak for å sikre at regelverket overholdes (se også artikkel 24). Med andre ord er en vurdering av personvernkonsekvenser en prosess som skal bidra til å skape og påvise etterlevelse. 

En gjentagende prosess

Det er viktig å huske på at det å vurdere personvernkonsekvenser ikke bare er en plikt i artikkel 35. Det er en prosess som uansett skal gjennomføres for alle behandlinger. En konkret vurdering av personvernkonsekvenser etter artikkel 35 gjentar denne prosessen, men da først og fremst for å finne de ekstra tiltakene som må til for å redusere en høy risiko som man ikke har klart å redusere tidligere.  

Å gjennomføre en DPIA reparerer ikke en ulovlig behandling av personopplysninger. Det er viktig å være oppmerksom på at alle behandlinger av personopplysninger i utgangspunktet skal oppfylle alle grunnkrav i forordningens øvrige bestemmelser. Hvis dere er usikre på om en behandling er lovlig, er det ikke i artikkel 35 dere skal begynne å lete etter svar. Start heller i artikkel 5, 6 og 9 i personvernforordningen. Hvis dere er usikre på om de registrertes rettigheter er innfridd, må dere se på artiklene 12-22.

Det meste av innholdet i en DPIA skal altså være gjort fra før. Alle har plikt til å ha en oversikt over behandlinger av personopplysninger som foretas i virksomheten som del av interkontrollen sin. Det en vurdering av personvernkonsekvenser krever i tillegg, er at dere iverksetter nødvendige tiltak for å oppfylle de registrertes rettigheter utover minimumskravene, når behandlingen utgjør en særskilt risiko for de registrerte (basert på art, omfang, formål og sammenheng). Med nødvendige tiltak mener vi her tiltak som går utover det som kreves av lovens ordlyd, men som etter en forholdsmessighetsvurdering er nødvendig for å sikre balansen mellom personverninteresser og virksomhetens interesser.

Sanksjoner

Etter forordningen kan manglende overholdelse av kravene til vurdering av personvernkonsekvenser, føre til at tilsynsmyndigheten pålegger sanksjoner. Hvis det ikke foretas en vurdering av personvernkonsekvenser der det er pålagt (se artikkel 35 nr. 1, 3, 4), eller hvis den utføres på en uriktig måte (se artikkel 35 nr. 2 og nr. 7–9), eller det unnlates å gjøre en forhåndsdrøftelse med tilsynsmyndigheten når det er et krav (se artikkel 36 nr. 3 bokstav e), kan det medføre administrative bøter på opptil 10 millioner euro, eller, om det gjelder en virksomhet, bøter på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet blir benyttet.  

Om innholdet i veilederen

Denne veilederen har tatt utgangspunkt i anbefalingene fra Artikkel 29-gruppen (EUs rådgivende organ i personvernspørsmål). I tillegg kommer vi med mer utdypende forklaringer og anbefalinger. Utdypingene er blant annet basert på vår erfaring med konsesjonsbehandlinger. Mange av EU-landene har i motsetning til Norge ikke hatt plikt til å søke konsesjon for behandling av personopplysninger. 

Den engelske versjonen av Artikkel 29-gruppens anbefalinger finner dere her

Anbefalingene er også oversatt til norsk (pdf)