Forhåndsdrøftelser

Dersom dere planlegger behandlinger med høy risiko for de registrertes rettigheter og friheter og ikke klarer å redusere risikoen, må virksomheten rådføre seg med Datatilsynet før behandlingen igangsettes. Dere må be om en forhåndsdrøftelse.

Hva er en forhåndsdrøftelse?

En forhåndsdrøftelse er en skriftlig, formalisert prosess. Når Datatilsynet har mottatt all nødvendig dokumentasjon, behandler vi saken. Saksbehandlingen følger kravene i forvaltningsloven og offentlighetsloven, og vil i praksis ligne på det som tidligere ble gjort ved behandling av konsesjoner. Det betyr at vi vurderer om den planlagte behandlingen er lovlig og om den ivaretar personvernprinsippene. Vi gir deretter en skriftlig tilbakemelding med råd eller pålegg.

I behandlingen skal Datatilsynet som et minimum vurdere:

  • om behandlingen skjer i tråd med personvernforordningen
  • om den behandlingsansvarlige i tilstrekkelig grad har identifisert risikoen
  • om risikoen i tilstrekkelig grad er redusert 

Det overordnede målet er å unngå at behandlingen av personopplysninger medfører høy risiko for de registrertes rettigheter og friheter. Det vil både si de registrertes rettigheter etter personvernforordningen, og andre grunnleggende rettigheter slik som retten til privatliv, kommunikasjonsvern, ytringsfrihet, tankefrihet, bevegelsesfrihet, forbud mot diskriminering, retten til frihet og samvittighets- og religionsfrihet.

Når er det aktuelt å be om en forhåndsdrøftelse?

Før dere sender en forespørsel om forhåndsdrøftelse, må det være gjennomført en vurdering av personvernkonsekvenser (DPIA).

Den behandlingsansvarlige må derfor - i denne rekkefølgen:

  1. gjennomføre en vurdering av personvernkonsekvenser (DPIA). Dette vil gi en oversikt over trusler og risiko knyttet til behandlingen som planlegges. Dere må i tillegg sørge for å oppfylle pliktene knyttet til internkontroll.
  2. iverksette tiltak som reduserer risikoen. Når dette er gjennomført og den høye risikoen for den registrertes rettigheter og friheter er redusert, kan den planlagte behandlingen av personopplysninger starte.
  3. be om en forhåndsdrøftelse dersom:
    • det er gjennomført en DPIA og man ikke klarer å redusere risiko
    • vurderingen har blitt behandlet i ledergruppen mer enn én gang, risikoen for den registrertes rettigheter og friheter fremdeles er høy og viljen til å gjennomføre fremdeles er stor

(De behandlingene som tidligere ville krevd konsesjon, vil nå mest sannsynlig medføre et krav om vurdering av personvernkonsekvenser. Deretter må det vurderes om forhåndsdrøftelser er nødvendig som skissert over.)

Dersom virksomheten har hovedkontor i et annet land, vil vi vurdere samarbeid med datatilsynsmyndigheten i det aktuelle landet.

Dersom dere ønsker veiledning, innspill eller diskusjon rundt om dere tenker riktig eller gjør nødvendige vurderinger, vil det ikke kvalifisere til en forhåndsdrøftelse. Dere må da be om et veiledningsmøte. 

Har dere spørsmål om forhåndsdrøftelse, kan de sendes til 

Hvordan be om en forhåndsdrøftelse og hva må dere sende inn?

For at vi skal kunne behandle saken, må dere sende oss følgende:

  1. Navn, telefonnummer og e-postadresse til kontaktperson og personvernombud hos den behandlingsansvarlige, samt til databehandler hvis det er aktuelt
  2. En systematisk beskrivelse av behandlingen med fokus på hva som gir høy risiko
    • behandlingens art, omfang, formål og sammenheng
    • kilder, mottagere, risikovurderinger, informasjonssikkerhet og ansvarsforhold
  3. Vurdering av nødvendighet og proporsjonalitet med fokus på hva som gir høy risiko
    • dokumentasjon av tiltak og garantier som er iverksatt for å ivareta personvernprinsippene, de registrertes rettigheter og de registrertes friheter (for eksempel informasjonstiltak, innsynsløsninger, granulering av samtykke)
  4. Vurdering av risiko for de registrertes rettigheter og friheter med fokus på hva som gir høy risiko
    • dokumentasjon fra gjennomføringen av vurderingen av personvernkonsekvenser i henhold til artikkel 35
    • risikovurdering i forhold til medbestemmelse, åpenhet og forutsigbarhet
    • tiltak for å håndtere risikoen
      • hvilke risikoreduserende tiltak som er gjennomført
      • hvilke risikoreduserende som er vurdert, men ikke gjennomført
      • begrunnelse for hvorfor risikoreduserende tiltak ikke er gjennomført
  5. Dokumentasjon fra ledelsens validering av DPIA
    • Sammenstilling av presentasjon og funn
    • Dokumentasjon av hensynet til interessenter
    • Ledelsens gjennomgang og beslutning

I tillegg bør dere vurdere å legge ved andre relevante forhold slik som for eksempel ledelsens validering av den gjennomførte vurderingen av personvernkonsekvenser og beslutningen om å be om forhåndsdrøftelse.

Sikker sending av konfidensiell informasjon

Siden dette skal være en skriftlig prosess, må en anmodning om forhåndsdrøftelse sendes på e-post eller per brev

Dokumentasjon som skal oversendes kan inneholde krav om konfidensialitet. Kommunikasjon til vår e-postserver støtter TLS. Dersom det er behov for høyere grad av sikkerhet kan PGP-kryptering benyttes. 

Les vår veiledning om hvordan man krypterer med OpenPGP. På samme side finner du også vår vår offentlige nøkkel og fingerprint

Hva resulterer en forhåndsdrøftelse i?

Datatilsynet kan benytte alle virkemidler og sanksjonsmuligheter når vi behandler en forhåndsdrøftelse. En forhåndsdrøftelse kan resultere i at:

  1. vi ber om ytterligere informasjon utover det dere har sendt inn, for eksempel hvordan opplysningene er tilstrekkelig sikret eller hvordan den ansvarlige har vurdert krav om innebygd personvern og personvern som standardinnstilling
  2. vi gir skriftlige råd, og vi kan i den forbindelse bruke myndigheten vår til å gi pålegg, advarsler, irettesettelser, gjøre stedlig tilsyn eller forby behandling.

Vår saksbehandling

Datatilsynet har plikt til å behandle anmodninger om forhåndsdrøftelse innen åtte uker fra de er mottatt. Når vi mottar en anmodning om forhåndsdrøftelse, vil vi først sjekke om all pålagt og nødvendig informasjon er lagt ved. Dersom ikke tilstrekkelig informasjon er sendt inn, vil anmodningen avvises. 

Dersom sakens kompleksitet krever det, kan behandlingsfristen forlenges med seks uker. I så fall vil vi gi dere tilbakemelding om dette senest fire uker etter at anmodningen er mottatt. 

Datatilsynets avgjørelser kan påklages til Personvernnemda.

21