Vurdering av personvernkonsekvenser (DPIA)

Forhåndsdrøftelse med Datatilsynet

Det er nødvendig med en forhåndsdrøftelse når virksomheten har gjennomført en vurdering av personvernkonsekvenser og behandlingen fortsatt medfører høy risiko for de registrertes rettigheter og friheter.

En forhåndsdrøftelse er en skriftlig, formalisert prosess, og bestemmelsene står i artikkel 36. Når Datatilsynet har mottatt all nødvendig dokumentasjon, behandler vi saken. Saksbehandlingen følger kravene i forvaltningsloven og offentlighetsloven, og vil i praksis ligne på det som tidligere ble gjort ved behandling av konsesjoner. Det betyr at vi vurderer om den planlagte behandlingen er lovlig og om den ivaretar personvernprinsippene. Vi gir deretter en skriftlig tilbakemelding med råd eller pålegg.

I behandlingen skal vi som et minimum vurdere:

  • om behandlingen skjer i tråd med personvernforordningen
  • om den behandlingsansvarlige i tilstrekkelig grad har identifisert risikoen
  • om risikoen i tilstrekkelig grad er redusert 

Det overordnede målet er å unngå at behandlingen av personopplysninger medfører høy risiko for de registrertes rettigheter og friheter. Det vil både si de registrertes rettigheter etter personvernforordningen, og andre grunnleggende rettigheter slik som retten til privatliv, kommunikasjonsvern, ytringsfrihet, tankefrihet, bevegelsesfrihet, forbud mot diskriminering, retten til frihet og samvittighets- og religionsfrihet.

Når er det aktuelt å be om en forhåndsdrøftelse?

Den behandlingsansvarlige må - i denne rekkefølgen:

  1. Gjennomføre en vurdering av personvernkonsekvenser (DPIA). Dette gir en oversikt over trusler og risiko knyttet til behandlingen som planlegges. Dere må i tillegg sørge for å oppfylle pliktene knyttet til internkontroll.
  2. Iverksette tiltak som reduserer risikoen. Når dette er gjennomført og den høye risikoen for den registrertes rettigheter og friheter er redusert, kan den planlagte behandlingen av personopplysninger starte.
  3. Be om en forhåndsdrøftelse dersom:
    • det er gjennomført en DPIA og man ikke klarer å redusere risiko
    • vurderingen har blitt behandlet i ledergruppen mer enn én gang, risikoen for den registrertes rettigheter og friheter fremdeles er høy og viljen til å gjennomføre fremdeles er stor

(De behandlingene som tidligere ville krevd konsesjon, vil nå mest sannsynlig medføre et krav om vurdering av personvernkonsekvenser. Deretter må det vurderes om forhåndsdrøftelser er nødvendig som skissert over.)

Dersom virksomheten har hovedkontor i et annet land, vil vi vurdere samarbeid med datatilsynsmyndigheten i det aktuelle landet.

Dersom dere ønsker veiledning, innspill eller diskusjon rundt om dere tenker riktig eller gjør nødvendige vurderinger, vil det ikke kvalifisere til en forhåndsdrøftelse. Dere må da be om et veiledningsmøte. 

Har dere spørsmål om forhåndsdrøftelse, kan de sendes til 

Det må imidlertid presiseres at uansett om det er et krav om forhåndsdrøftelse med Datatilsynet på grunn av høy restrisiko eller ikke, så har virksomheten plikt til å dokumentere og oppbevare vurderingen av personvernkonsekvenser, og om nødvendig oppdatere den.

Hvordan be om en forhåndsdrøftelse og hva må dere sende inn?

For at vi skal kunne behandle saken, må dere sende oss følgende:

  1. Navn, telefonnummer og e-postadresse til kontaktperson og personvernombud hos den behandlingsansvarlige, samt til databehandler hvis det er aktuelt
  2. En systematisk beskrivelse av behandlingen med fokus på hva som gir høy risiko
    • behandlingens art, omfang, formål og sammenheng
    • kilder, mottagere, risikovurderinger, informasjonssikkerhet og ansvarsforhold
  3. Vurdering av nødvendighet og proporsjonalitet med fokus på hva som gir høy risiko
    • dokumentasjon av tiltak og garantier som er iverksatt for å ivareta personvernprinsippene, de registrertes rettigheter og de registrertes friheter (for eksempel informasjonstiltak, innsynsløsninger, granulering av samtykke)
  4. Vurdering av risiko for de registrertes rettigheter og friheter med fokus på hva som gir høy risiko
    • dokumentasjon fra gjennomføringen av vurderingen av personvernkonsekvenser i henhold til artikkel 35
    • risikovurdering i forhold til medbestemmelse, åpenhet og forutsigbarhet
    • tiltak for å håndtere risikoen
      • hvilke risikoreduserende tiltak som er gjennomført
      • hvilke risikoreduserende som er vurdert, men ikke gjennomført
      • begrunnelse for hvorfor risikoreduserende tiltak ikke er gjennomført
  5. Dokumentasjon fra ledelsens validering av DPIA
    • Sammenstilling av presentasjon og funn
    • Dokumentasjon av hensynet til interessenter
    • Ledelsens gjennomgang og beslutning

I tillegg bør dere vurdere å legge ved andre relevante forhold slik som for eksempel ledelsens validering av den gjennomførte vurderingen av personvernkonsekvenser og beslutningen om å be om forhåndsdrøftelse.

Sikker sending av konfidensiell informasjon

Siden dette skal være en skriftlig prosess, må en anmodning om forhåndsdrøftelse sendes på e-post eller per brev

Dokumentasjon som skal oversendes kan inneholde krav om konfidensialitet. Kommunikasjon til vår e-postserver støtter TLS. Dersom det er behov for høyere grad av sikkerhet kan PGP-kryptering benyttes. 

Les mer om hvordan du krypterer med OpenPGP. På samme side finner du også vår offentlige nøkkel og fingerprint

Hva resulterer en forhåndsdrøftelse i?

Datatilsynet kan benytte alle virkemidler og sanksjonsmuligheter når vi behandler en forhåndsdrøftelse. En forhåndsdrøftelse kan resultere i at:

  1. Vi ber om ytterligere informasjon utover det dere har sendt inn, for eksempel hvordan opplysningene er tilstrekkelig sikret eller hvordan den ansvarlige har vurdert krav om innebygd personvern og personvern som standardinnstilling.
  2. Vi gir skriftlige råd, og vi kan i den forbindelse bruke myndigheten vår til å gi pålegg, advarsler, irettesettelser, gjøre stedlig tilsyn eller forby behandling.

Eksempler

To behandlinger som krever en vurdering av personvernkonsekvenser der det kan stilles krav om forhåndsdrøftelse:

  1. Langvarige forskningsprosjekter som skal innhente helseopplysninger i stort omfang uten at dette baseres på samtykke

    Vi forventer at den behandlingsansvarlige kan dokumentere sin vurdering av tiltak som reelt sett er egnet til å sørge for at de registrerte får kjennskap til prosjektet, og tiltak som gjør det enkelt å skaffe seg innsyn i hvilke opplysninger som er innhentet fra hvor. Et annet tiltak som også er egnet til å redusere risiko (forutsatt at informasjon og innsyn er ivaretatt) er muligheten til å reservere seg. 

    Dersom virksomheten beslutter å bruke ressurser på tiltak som reelt sett sikrer forutsigbarhet og åpenhet om behandlingen og medbestemmelse for de registrerte, er det ikke nødvendig med forhåndsdrøftelse. 

    Dersom virksomheten beslutter å ikke bruke ressurser på tiltak som nevnt over, og kan presentere en legitim begrunnelse for dette, er det nødvendig å be om en forhåndsdrøftelse med oss.
  2. En tilbyder innen telekommunikasjon planlegger å bruke lokasjonsopplysninger om sine kunder til andre formål enn å oppfylle avtalen eller lovpålagte behandlinger

    Behandlingsgrunnlaget er interesseavveiingen i forordningen (artikkel 6 f). Tilbyderen planlegger å videreselge opplysninger om hvor mange personer som befinner seg på eller ved spesifikke severdigheter og destinasjoner i Norge, på bestemte tidspunkter (for eksempel Gaustatoppen en gitt dag i påskeferien), samt hvilke nasjonaliteter disse personene har.

    Vi forventer i dette tilfellet at den behandlingsansvarlige kan dokumentere vurderingen av tiltak som reelt sett er egnet til å sørge for lagringsbegrensing og dataminimering. For lagringsbegrensing forventes det særskilt at det er tatt stilling til hvor lang tid en anonymiseringsprosess vil ta, og dermed hvor lang tid det er nødvendig å lagre identifiserende opplysninger.

    For dataminimering forventes det at det iverksettes tiltak for å unngå å innhente direkte identifiserende opplysninger, og at grupper under et visst antall mennesker ikke registreres. I tilfeller hvor det er relevant skal også de registrerte enkelt få kjennskap til at tilbyderen selger denne typen opplysninger, enkelt kunne skaffe seg innsyn i hvilke opplysninger som er brukt og hvor de er utlevert, og gis mulighet til å reservere seg mot denne type behandling av personopplysninger.

    Dersom virksomheten beslutter å bruke ressurser på tiltak som reelt sett sikrer forutsigbarhet og åpenhet om behandlingen og medbestemmelse for de registrerte, er det ikke nødvendig med forhåndsdrøftelse.

    Dersom virksomheten beslutter å ikke bruke ressurser på tiltak som nevnt ovenfor, og kan presentere en legitim begrunnelse for dette, er det nødvendig med forhåndsdrøftelse.