Når må personvern bygges inn i behandlingen?

Før behandlingen finner sted

Idét man fastsetter midler som skal tas i bruk i behandlingen, må man planlegge hvordan personvern bygges inn for at personvernprinsippene og de registrertes rettigheter og friheter blir implementert i løsningen/appen/programmet/eller lignende. Det vil si at ved anskaffelse, vurdering, utforming, valg og innstillinger av behandlingssystemer, plikter virksomheter å ha innbygd personvern.

Etter at behandlingen er satt i gang – krav om vedlikehold

Når behandlingssystemet er rullet ut og behandlingen er satt i gang, plikter virksomheter å sørge for at behandlingen forsetter å tilfredsstille kravene om innebygd personvern. Det vil si at virksomheter må ha oversikt over hvor godt behandlingen ivaretar personvernet i praksis, og om det fortsetter å ivareta personvernet på en tilstrekkelig effektiv måte.

Med andre ord stilles det krav til vedlikehold av et effektivt personvern i behandlingssystemet underveis i behandlingen.

Krav om vedlikehold gjelder også ved bruk av databehandlere. Behandlingsansvarlige skal vurdere behandlingsaktivitetene med jevne mellomrom for å sørge for kontinuerlig etterlevelse av personvernprinsippene slik at de opprettholder kravene til innebygd personvern.

Også for behandlingssystemer utviklet før krav om innebygd personvern trådte i kraft

Kravet om innebygd personvern gjelder også for systemer og løsninger som ble utviklet før personvernregelforordningen av 2018 trådte i kraft, og som fremdeles er i bruk. Dette innebærer at behandlingsansvarlige plikter å oppdatere og iverksette tiltak for å ivareta personvernet på en effektiv måte i tråd med kravet.