Når skal det gjennomføres forhåndsdrøftelse med Datatilsynet?

Det er nødvendig med en forhåndsdrøftelse når virksomheten har gjennomført en vurdering av personvernkonsekvenser og behandlingen fortsatt medfører høy risiko for de registrertes rettigheter og friheter.

Når den behandlingsansvarlige ikke kan finne tilstrekkelige tiltak for å begrense risikoen til et akseptabelt nivå (det vil si at restrisikoen fremdeles er høy), er det krav om forhåndsdrøftelse med tilsynsmyndigheten. Dette bør forstås som at behandlingen fortsatt har høy risiko ved at den kan ha høy innvirkning, inngripen, eller krenking av personvernet eller de registrertes rettigheter og friheter, og at denne risikoen ikke kan reduseres.

Den behandlingsansvarlige må også rådføre seg med Datatilsynet når det er et krav i loven at den behandlingsansvarlige skal rådføre seg med, og innhente forhåndsgodkjenning fra, oss i forbindelse med en oppgave som utføres av en behandlingsansvarlig i allmennhetens interesse, herunder knyttet til sosial trygghet og folkehelse (jf. artikkel 36 nr. 5).

Eksempler

Under er to eksempler på behandlinger som krever en vurdering av personvernkonsekvenser der det kan stilles krav om forhåndsdrøftelse:

  1. Langvarige forskningsprosjekter som skal innhente helseopplysninger i stort omfang uten at dette baseres på samtykke.
    Vi forventer at den behandlingsansvarlige kan dokumentere sin vurdering av tiltak som reelt sett er egnet til å sørge for at de registrerte får kjennskap til prosjektet, og tiltak som gjør det enkelt å skaffe seg innsyn i hvilke opplysninger som er innhentet fra hvor. Et annet tiltak som også er egnet til å redusere risiko (forutsatt at informasjon og innsyn er ivaretatt) er muligheten til å reservere seg. 

    Dersom virksomheten beslutter å bruke ressurser på tiltak som reelt sett sikrer forutsigbarhet og åpenhet om behandlingen og medbestemmelse for de registrerte, er det ikke nødvendig med forhåndsdrøftelse. 

    Dersom virksomheten beslutter å ikke bruke ressurser på tiltak som nevnt over, og kan presentere en legitim begrunnelse for dette, er det nødvendig å be om en forhåndsdrøftelse med oss.
  2. En tilbyder innen telekommunikasjon planlegger å bruke lokasjonsopplysninger om sine kunder til andre formål enn å oppfylle avtalen eller lovpålagte behandlinger.
    Behandlingsgrunnlaget er interesseavveiingen i forordningen (artikkel 6 f). Tilbyderen planlegger å videreselge opplysninger om hvor mange personer som befinner seg på eller ved spesifikke severdigheter og destinasjoner i Norge, på bestemte tidspunkter (for eksempel Gaustatoppen en gitt dag i påskeferien), samt hvilke nasjonaliteter disse personene har.

    Vi forventer i dette tilfellet at den behandlingsansvarlige kan dokumentere vurderingen av tiltak som reelt sett er egnet til å sørge for lagringsbegrensing og dataminimering. For lagringsbegrensing forventes det særskilt at det er tatt stilling til hvor lang tid en anonymiseringsprosess vil ta, og dermed hvor lang tid det er nødvendig å lagre identifiserende opplysninger.

    For dataminimering forventes det at det iverksettes tiltak for å unngå å innhente direkte identifiserende opplysninger, og at grupper under et visst antall mennesker ikke registreres. I tilfeller hvor det er relevant skal også de registrerte enkelt få kjennskap til at tilbyderen selger denne typen opplysninger, enkelt kunne skaffe seg innsyn i hvilke opplysninger som er brukt og hvor de er utlevert, og gis mulighet til å reservere seg mot denne type behandling av personopplysninger.

    Dersom virksomheten beslutter å bruke ressurser på tiltak som reelt sett sikrer forutsigbarhet og åpenhet om behandlingen og medbestemmelse for de registrerte, er det ikke nødvendig med forhåndsdrøftelse.

    Dersom virksomheten beslutter å ikke bruke ressurser på tiltak som nevnt ovenfor, og kan presentere en legitim begrunnelse for dette, er det nødvendig med forhåndsdrøftelse.

Merk at Justisdepartementet har skrevet følgende i proposisjon 56 LS(2017-2018), kapittel 12.5.2:

«I tråd med forslaget i høringsnotatet foreslår departementet å innføre en forskriftshjemmel som kan benyttes til å innføre konsesjonsplikt dersom det skulle vise seg at dette skulle være nødvendig for å sikre et tilstrekkelig personvern. Etter departementets syn bør en eventuell konsesjonsplikt kun innføres på nærmere bestemte livsområder der det viser seg å være behov for dette, ikke generelt ved behandling av særlige kategorier av personopplysninger. Departementet har merket seg innvendingene om at en slik adgang vil gi liten forutberegnelighet, og viser i den sammenheng til at utkast til nye forskrifter normalt skal sendes på alminnelig høring, noe som vil sikre at berørte aktører får mulighet til å gi innspill til eventuelle nye konsesjonsregler.»

Det må imidlertid presiseres at uansett om det er et krav om forhåndsdrøftelse med Datatilsynet på grunn av høy restrisiko eller ikke, så har man plikt til å dokumentere og oppbevare vurderingen av personvernkonsekvenser, og om nødvendig oppdatere den.

Les mer om når det skal gjennomføres forhåndsdrøftelser, og kravene til dokumentasjon

19