Når skal det gjennomføres forhåndsdrøftelse med Datatilsynet?

Når den behandlingsansvarlige ikke kan finne tilstrekkelige tiltak for å begrense risikoen til et akseptabelt nivå (det vil si at restrisikoen fremdeles er høy), er det krav om forhåndsdrøftelse med tilsynsmyndigheten. Dette bør forstås som at behandlingen fortsatt har høy risiko ved at den kan ha høy innvirkning, inngripen, eller krenking av personvernet eller de registrertes rettigheter og friheter, og at denne risikoen ikke kan reduseres.

Den behandlingsansvarlige må også rådføre seg med Datatilsynet når det er et krav i loven at den behandlingsansvarlige skal rådføre seg med, og innhente forhåndsgodkjenning fra, oss i forbindelse med en oppgave som utføres av en behandlingsansvarlig i allmennhetens interesse, herunder knyttet til sosial trygghet og folkehelse (jf. artikkel 36 nr. 5).

Eksempler

To behandlinger som krever en vurdering av personvernkonsekvenser der det kan stilles krav om forhåndsdrøftelse:

1. Langvarige forskningsprosjekter som skal innhente helseopplysninger i stort omfang uten at dette baseres på samtykke

   Vi forventer at den behandlingsansvarlige kan dokumentere sin vurdering av tiltak som reelt sett er egnet til å sørge for at de registrerte får kjennskap til prosjektet, og tiltak som gjør det enkelt å skaffe seg innsyn i hvilke opplysninger som er innhentet fra hvor. Et annet tiltak som også er egnet til å redusere risiko (forutsatt at informasjon og innsyn er ivaretatt) er muligheten til å reservere seg. 
   
   Dersom virksomheten beslutter å bruke ressurser på tiltak som reelt sett sikrer forutsigbarhet og åpenhet om behandlingen og medbestemmelse for de registrerte, er det ikke nødvendig med forhåndsdrøftelse. 
   
   Dersom virksomheten beslutter å ikke bruke ressurser på tiltak som nevnt over, og kan presentere en legitim begrunnelse for dette, er det nødvendig å be om en forhåndsdrøftelse med oss.

2. En tilbyder innen telekommunikasjon planlegger å bruke lokasjonsopplysninger om sine kunder til andre formål enn å oppfylle avtalen eller lovpålagte behandlinger

   Behandlingsgrunnlaget er interesseavveiingen i forordningen (artikkel 6 f). Tilbyderen planlegger å videreselge opplysninger om hvor mange personer som befinner seg på eller ved spesifikke severdigheter og destinasjoner i Norge, på bestemte tidspunkter (for eksempel Gaustatoppen en gitt dag i påskeferien), samt hvilke nasjonaliteter disse personene har.
   
   Vi forventer i dette tilfellet at den behandlingsansvarlige kan dokumentere vurderingen av tiltak som reelt sett er egnet til å sørge for lagringsbegrensing og dataminimering. For lagringsbegrensing forventes det særskilt at det er tatt stilling til hvor lang tid en anonymiseringsprosess vil ta, og dermed hvor lang tid det er nødvendig å lagre identifiserende opplysninger.
   
   For dataminimering forventes det at det iverksettes tiltak for å unngå å innhente direkte identifiserende opplysninger, og at grupper under et visst antall mennesker ikke registreres. I tilfeller hvor det er relevant skal også de registrerte enkelt få kjennskap til at tilbyderen selger denne typen opplysninger, enkelt kunne skaffe seg innsyn i hvilke opplysninger som er brukt og hvor de er utlevert, og gis mulighet til å reservere seg mot denne type behandling av personopplysninger.
   
   Dersom virksomheten beslutter å bruke ressurser på tiltak som reelt sett sikrer forutsigbarhet og åpenhet om behandlingen og medbestemmelse for de registrerte, er det ikke nødvendig med forhåndsdrøftelse.
   
   Dersom virksomheten beslutter å ikke bruke ressurser på tiltak som nevnt ovenfor, og kan presentere en legitim begrunnelse for dette, er det nødvendig med forhåndsdrøftelse.

Det må imidlertid presiseres at uansett om det er et krav om forhåndsdrøftelse med Datatilsynet på grunn av høy restrisiko eller ikke, så har man plikt til å dokumentere og oppbevare vurderingen av personvernkonsekvenser, og om nødvendig oppdatere den.

Les mer om når det skal gjennomføres forhåndsdrøftelser, og kravene til dokumentasjon