Når må man gjennomføre en vurdering av personvernkonsekvenser?

I dette kapittelet sier vi litt overordnet om i hvilke tilfeller en vurdering av personvernkonsekvenser (DPIA) skal gjennomføres. I de neste kapitlene vil vi utdype dette nærmere. Vi vil blant annet også si litt om når den eventuelt bør gjennomføres og hvem som har ansvaret, samt situasjoner der det ikke er nødvendig å gjennomføre en DPIA.

I personvernforordningen artikkel 35 nr. 1 står det: «Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.» 

I tillegg skal «den behandlingsansvarlige foreta en gjennomgåelse for å vurdere om behandlingen utføres i samsvar med vurderingen av personvernkonsekvenser, i det minste dersom risikoen som behandlingen medfører, endres.» (Artikkel 35 nr. 11).

Når er vurderingen obligatorisk?

Noen behandlingsaktiviteter krever alltid at det utføres en vurdering av personvernkonsekvenser. En liste over disse vil komme her i løpet av høsten 2018, etter gjennomgang i personvernrådet i Brussel (EDPB).

Vurdering av personvernkonsekvenser er bare obligatorisk dersom behandlingen sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter. I de tilfellene der det er usikkert om det er nødvendig å gjennomføre en vurdering av personvernkonsekvenser eller ikke, anbefaler Artikkel 29-gruppen at det gjennomføres en DPIA likevel, fordi det er et nyttig verktøy for å sikre at behandlingsansvarlig overholder personvernforordningen.

Selv om en vurdering av personvernkonsekvenser kan være nødvendig å gjennomføre under andre omstendigheter, gir forordningen (artikkel 35 nr. 3) noen eksempler på når en behandling sannsynligvis vil medføre en høy risiko:

a) en systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning for den fysiske personen eller på lignende måte i betydelig grad påvirker den fysiske personen,

b) behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eller av personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10,
eller

c) en systematisk overvåking i stor skala av et offentlig tilgjengelig område.

Dette er ikke ment å være en uttømmende liste med eksempler. Det kan foreligge høy risiko ved andre behandlinger som ikke omfattes av denne listen. For disse skal det også gjennomføres en vurdering av personvernkonsekvenser. Dette kommer vi nærmere tilbake til i de to neste kapitlene.

Når kreves det ikke en vurdering av personvernkonsekvenser (DPIA)?

Her er en oversikt over noen situasjoner der det anses at det ikke kreves en vurdering av personvernkonsekvenser:

  • Dersom behandlingen sannsynligvis ikke «vil medføre en høy risiko» (artikkel 35 nr. 1).
  • Dersom behandlingens art, omfang, sammenheng og formål er veldig lik en behandling det allerede er gjennomført en vurdering av personvernkonsekvenser for. I slike situasjoner kan resultatet fra den foreliggende vurderingen for lignende behandlinger brukes (artikkel 35 nr. 1).
  • Dersom behandlingen er kontrollert av en tilsynsmyndighet før mai 2018 på særskilte betingelser, og at disse ikke har endret seg. (I Norge vil en slik kontroll vanligvis bety at man har hatt konsesjon).
  • Dersom en behandling er i samsvar med artikkel 6 nr. 1 bokstav c eller bokstav e og har et rettsgrunnlag etter EU-retten eller nasjonal lovgiving, der tilhørende lovgivning regulerer den spesifikke behandlingen og en vurdering av personvernkonsekvenser allerede er gjennomført som ledd i utarbeidelse av rettsgrunnlaget (artikkel 35 nr. 10), unntatt hvis medlemsstaten har bestemt at det er nødvendig å gjennomføre en vurdering av personvernkonsekvenser forut for behandlingen.

Merk at Justisdepartementet har skrevet følgende i proposisjon 56 LS(2017-2018), kapittel 16.5.5:

«Etter departementets vurdering er unntaket fra plikten til vurdering av personvernkonsekvenser i forordningen artikkel 35 nr. 10 så snevert at det ikke synes nødvendig på nåværende tidspunkt å fastsette noen nasjonale unntak fra unntaket. Unntaket kommer bare til anvendelse når det supplerende rettsgrunnlaget for behandlingen inneholder en spesifikk regulering av de ulike behandlingsaktivitetene, noe som sjelden er tilfelle. Hvis behandlingsaktivitetene først er spesifikt regulert i lov eller forskrift, og personvernkonsekvensene allerede er vurdert i den forbindelse, kan departementet ikke se at en vurdering av personvernkonsekvenser vil ha en så stor tilleggsverdi at det er nødvendig å pålegge dette også i disse tilfellene.

At unntaket fører til grensedragningsspørsmål, er etter departementets oppfatning ikke et tilstrekkelig tungtveiende hensyn til at det er nødvendig å pålegge en plikt til vurdering av personvernkonsekvenser. Risikoen for misforståelser av rekkevidden av unntaket kan reduseres med informasjon og veiledning. Departementet foreslår ingen utvidet plikt til forhåndsdrøfting med tilsynsmyndigheten etter artikkel 36 nr. 5. Det foreslås imidlertid en forskriftshjemmel som åpner for slike bestemmelser, se lovforslaget § 14.»

Vurderingen av personvernkonsekvenser skal gjennomføres før behandlingen

En eventuell vurdering av personvernkonsekvenser skal gjennomføres før behandlingen. Dette er i samsvar med prinsippene om innebygd personvern og personvern som standardinnstilling (artikkel 25 og fortalepunkt 78). Vurderingen skal være et verktøy til bruk i beslutningsprosesser som gjelder behandlingen.

En vurdering av personvernkonsekvenser bør starte så tidlig som mulig i utformingen av behandlingsprosessen, selv om enkelte elementer i behandlingsprosessen fremdeles er ukjente. En oppdatering av vurderingen under prosjektets livssyklus vil sikre personopplysningsvern og personvern, og vil bidra til at det utvikles løsninger som fremmer regeletterlevelse. Det kan også være nødvendig å gjenta enkelte steg i vurderingen underveis i utviklingsprosessen, siden valg av visse tekniske eller organisatoriske tiltak kan påvirke alvorlighetsgraden eller sannsynligheten for at det oppstår ny risiko knyttet til behandlingen. Vurderingen av personvernkonsekvenser skal være en kontinuerlig prosess, spesielt når behandlingen er dynamisk og endres løpende.

Det er viktig å huske at å gjennomføre en DPIA ikke reparerer en ulovlig behandling av personopplysninger. Vær derfor oppmerksom på at den behandling som man vurderer om skal gjennom en DPIA-prosess, som et utgangspunkt også skal oppfylle alle grunnkravene som følger av forordningens øvrige bestemmelser.

Behandlingsansvarlig har ansvaret

Det er den behandlingsansvarlige som er ansvarlig for å sikre at vurdering av personvernkonsekvenser gjennomføres (artikkel 35 nr. 2). Vurderingen kan gjennomføres av noen andre, innenfor eller utenfor virksomheten, men det er den behandlingsansvarlige som har det øverste ansvaret for denne oppgaven.

I artikkel 24 nr. 1 fastsettes den behandlingsansvarliges grunnleggende ansvar for etterlevelse av forordningen: «Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.»

I tillegg må relevante personer kobles på prosessen:

  1. Den behandlingsansvarlige må rådføre seg med personvernombudet dersom det er utpekt. Personvernombudets råd sammen med beslutningene den behandlingsansvarlige tar, bør dokumenteres i vurderingen. Personvernombudet skal også kontrollere gjennomføringen av en DPIA (artikkel 39 nr. 1 bokstav c). 
  2. Dersom behandlingen helt eller delvis gjennomføres av en databehandler, bør databehandleren bistå den behandlingsansvarlige i gjennomføringen av en DPIA og fremlegge all nødvendig informasjon (i henhold til artikkel 28 nr. 3 bokstav f). Databehandlerens roller og ansvar skal nedfelles i en avtale. I avtalen bør det også stå at databehandleren blant annet skal bistå i vurderingen av personvernkonsekvenser. 
  3. Den behandlingsansvarlige skal videre «dersom det er relevant, innhente synspunkter på den planlagte behandlingen fra de registrerte eller deres representanter» (artikkel 35 nr. 9). Dette er noe Datatilsynet anbefaler fordi det kan bidra til å forutse og besvare de registrertes eventuelle innvendinger og bekymringer. Dette kan igjen kan bidra til å se de registrertes perspektiv og øke deres tillit til virksomheten og dens behandlinger. 

i) Disse synspunktene kan innhentes på ulike måter, avhengig av sammenhengen (for eksempel en generell studie relatert til behandlingsaktivitetens formål og hensikt, et spørsmål til medarbeiderrepresentanter eller vanlige spørreskjema som sendes til den behandlingsansvarliges framtidige kunder), for å sikre at den behandlingsansvarlige har rettslig grunnlag for behandling av personopplysninger som fremkommer ved innhenting av slike synspunkter. Husk at et samtykke til behandling ikke regnes som en tilbakemelding fra de registrerte.

ii) Om den behandlingsansvarliges endelige beslutninger skiller seg fra de registrertes synspunkter, skal begrunnelsene den behandlingsansvarlige har for å fortsette eller ikke, dokumenteres.

iii) Den behandlingsansvarlige skal også dokumentere begrunnelsen for ikke å innhente synspunkter fra de registrerte, om han eller hun bestemmer at det ikke er hensiktsmessig. For eksempel om dette kan avsløre forretningssensitiv informasjon, eller vil være uforholdsmessig eller umulig.

Det er også god praksis å definere og dokumentere andre spesifikke roller og ansvarsområder, avhengig av interne strategier, prosesser og regler, for eksempel følgende:

  • Når spesifikke avdelinger i virksomheten kan foreslå at det gjennomføres en vurdering av personvernkonsekvenser, bør disse bidra med informasjon til vurderingen og være involvert i evalueringsprosessen.
  • Når det er aktuelt, anbefales det å innhente synspunkter fra uavhengige eksperter fra ulike yrkesgrupper (jurister, IT-eksperter, sikkerhetseksperter, sosiologer, etikkspesialister og så videre). 
  • Den ansvarlige for informasjonssikkerheten, hvis en slik er utpekt, og personvernombudet, kan foreslå at den behandlingsansvarlige skal gjennomføre en vurdering av personvernkonsekvenser for en bestemt behandling. De bør også hjelpe berørte aktører med metodikk, samt hjelpe til å evaluere kvaliteten på risikovurderingen og hvorvidt restrisikoen er akseptabel. I tillegg bør de utvikle kunnskap som er spesifikk for den behandlingsansvarliges situasjon. 
  • Den ansvarlige for informasjonssikkerheten, hvis en slik er utpekt, og/eller IT-avdelingen, bør bistå den behandlingsansvarlige. Den eller de kan foreslå at en vurdering av personvernkonsekvenser skal gjennomføres for en bestemt behandling, avhengig av sikkerhetsbehov eller operative behov.

Hva kan en vurdering av personvernkonsekvenser omfatte?

Kan benyttes til en eller flere behandlinger eller prosjekter.

En vurdering av personvernkonsekvenser kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer (artikkel 35 nr. 1).

I tillegg står det i fortalen punkt 92 at «I noen tilfeller kan det være rimelig og økonomisk å utvide vurderingen av personvernkonsekvenser til å omfatte mer enn ett prosjekt, f.eks. dersom offentlige myndigheter eller organer har planer om å innføre en felles applikasjon eller behandlingsplattform, eller dersom flere behandlingsansvarlige planlegger å innføre en felles applikasjon eller et felles behandlingsmiljø på tvers av en industrisektor eller -segment eller for en horisontal aktivitet som er i utstrakt bruk».

Kan gjenbrukes til lignende behandlinger.

En enkelt vurdering av personvernkonsekvenser kan brukes for å vurdere flere behandlinger som ligner på hverandre med hensyn til art, omfang, sammenheng, formål og risiko. Formålet med en slik vurdering er å sikre en systematisk undersøkelse av nye situasjoner som kan medføre høy risiko for fysiske personers rettigheter og friheter.

Det er ikke nødvendig å utføre en vurdering av personvernkonsekvenser i situasjoner (det vil si behandlinger som utføres i en spesifikk sammenheng og for et spesifikt formål) som allerede har vært undersøkt. Dette kan være tilfelle når samme type teknologi benyttes til å samle inn samme type opplysninger til samme formål.

Eksempler:

  • En gruppe kommunale myndigheter som hver for seg innfører et lignende kameraovervåkingssystem, kan utføre én enkelt vurdering av personvernkonsekvenser.
  • Et jernbaneselskap (én enkelt behandlingsansvarlig) som gjennomfører én vurdering av personvernkonsekvenser for kameraovervåking på samtlige togstasjoner.

På samme måte kan denne fremgangsmåten benyttes når lignende behandlinger gjennomføres av ulike behandlingsansvarlige. I disse tilfellene bør en referansevurdering deles eller gjøres offentlig tilgjengelig. Tiltakene som beskrives i vurderingen, skal gjennomføres/implementeres og det skal begrunnes hvorfor kun én enkelt vurdering er gjennomført.

Dersom behandlingen omfatter flere behandlingsansvarlige med felles behandlingsansvar, skal deres respektive plikter defineres spesifikt. Vurderingen av personvernkonsekvenser skal vise hvilken av de behandlingsansvarlige som er ansvarlig for de ulike tiltakene som er utformet. Hver behandlingsansvarlig bør legge frem sine behov og dele nyttig informasjon uten å videreformidle konfidensielle opplysninger (slik som forretningshemmeligheter og immaterielle rettigheter) eller avsløre sårbarheter.

Kan benyttes på tekniske produkter.

Det kan også være nyttig å vurdere personvernkonsekvenser i forbindelse med utvikling/bruk av et teknisk produkt. Dette kan for eksempel være maskinvare eller programvare, som sannsynligvis kommer til å benyttes av ulike behandlingsansvarlige for ulike behandlinger. Den behandlingsansvarlige som benytter produktet, må naturligvis fremdeles utføre sin egen vurdering av personvernkonsekvenser med hensyn til den konkrete behandlingen. Denne kan imidlertid understøttes av leverandørens vurdering av personvernkonsekvenser dersom det er relevant.

Et eksempel på dette er forholdet mellom en produsent av intelligente målere og energileverandører. Den enkelte tilbyder av produktet eller databehandleren bør utveksle nyttig informasjon uten å videreformidle forretningshemmeligheter eller skape sikkerhetsrisiko ved å avsløre sårbarheter.

Må man vurdere personvernkonsekvenser for behandlingsaktiviteter som allerede er satt igang?

Det er ikke et krav å vurdere personvernkonsekvensene for behandlinger som tidligere har blitt kontrollert av Datatilsynet eller personvernombudet, og som ikke har endret seg siden forrige kontroll.

«Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndigheter på grunnlag av direktiv 95/46/EF, skal fortsette å gjelde fram til de endres, erstattes eller oppheves.» (Forordningens fortale punkt 171)

Det innebærer at en behandling av personopplysninger som gjennomføres på en måte (omfang, formål, innsamlede personopplysninger, behandlingsansvarliges eller mottakernes identitet, lagringstid, tekniske og organisatoriske tiltak og så videre) som har endret seg siden den forutgående kontrollen ble gjennomført av tilsynsmyndigheten eller personvernombudet, og som sannsynligvis vil medføre en høy risiko, bør gjennomgå en vurdering av personvernkonsekvenser.

Endringer i risiko?

Det kan også kreves en vurdering av personvernkonsekvenser (DPIA) dersom det har skjedd endringer i risikoene som oppstår gjennom behandlingen. Det kan for eksempel være ved at ny teknologi har blitt tatt i bruk eller ved at personopplysninger brukes til et annet formål. Behandlingsaktiviteter kan utvikle seg raskt og nye sårbarheter kan oppstå. En revisjon av en DPIA fremmer ikke bare kontinuerlige forbedringer, men er også viktig for å opprettholde et høyt beskyttelsesnivå i et miljø som endrer seg over tid.

Motsatt kan visse endringer også minske risikoen. For eksempel kan en behandling utvikles slik at beslutninger ikke lenger er automatisert eller at en overvåkingsaktivitet ikke lenger er systematisk. I så fall kan en gjennomført risikoanalyse vise at det ikke lenger er behov for vurdering av personvernkonsekvenser.

Endringer i organisatoriske eller sosiale sammenhenger?

En vurdering av personvernkonsekvenser kan også bli nødvendig på grunn av endringer i behandlingens organisatoriske eller sosiale sammenheng. For eksempel ved at effektene av visse automatiske beslutninger får økt betydning eller ved at nye kategorier av registrerte blir sårbare for forskjellsbehandling. Hvert av disse eksemplene kan være et element som medfører endring i risikoen som oppstår ved den aktuelle behandlingen og krever derfor en ny vurdering av personvernkonsekvenser. 

9