Vurdering av personvernkonsekvenser (DPIA)

Vurdering av personvernkonsekvenser (DPIA)

Etter personvernregelverket har virksomhetene plikt til å vurdere personvernkonsekvensene i ulike løsninger de tar i bruk (Data Protection Impact Assessment - DPIA). Dette skal sikre personvernet til de som er registrert der. I noen sammenhenger vil det også være nødvendig å gjennomføre en forhåndsdrøftelse.

Innledning

Artikkel 35 definerer når det er påkrevd å gjøre en DPIA, hva den skal inneholde og hvem som skal gjennomføre den. Vi vil her gi råd og hjelp til hvordan dere kan gå frem gå frem.

Vi har også laget en sjekkliste som kan lastes ned og som oppsummerer innholdet i denne veiledningen:

Om DPIA

En vurdering av personvernkonsekvenser er en prosess som skal beskrive behandlingen av personopplysninger, og vurdere om den er nødvendig og proporsjonal. Den skal også bidra til å håndtere de risikoene behandlingen medfører for enkeltpersoners rettigheter og friheter ved å vurdere dem og fastlegge risikoreduserende tiltak.

Vurdering av personvernkonsekvenser er et viktig verktøy for ansvarlighet, ettersom det ikke bare hjelper den behandlingsansvarlige med å sikre samsvar med kravene i personvernforordningen, men også med å dokumentere at det er gjort tilstrekkelige tiltak for å sikre at regelverket overholdes (se også artikkel 24). Med andre ord er en vurdering av personvernkonsekvenser en prosess som skal bidra til å skape og påvise etterlevelse. 

En gjentagende prosess

Det er viktig å huske på at det å vurdere personvernkonsekvenser er en prosess som alltid skal gjennomføres for alle behandlinger. En konkret vurdering av personvernkonsekvenser etter artikkel 35 gjentar denne prosessen, men da først og fremst for å finne de ekstra tiltakene som må til for å redusere en høy risiko som man ikke har klart å redusere tidligere.  

Å gjennomføre en DPIA reparerer ikke en ulovlig behandling av personopplysninger. Det er viktig å være oppmerksom på at alle behandlinger av personopplysninger i utgangspunktet skal oppfylle alle grunnkrav i forordningens øvrige bestemmelser. Hvis dere er usikre på om en behandling er lovlig, er det ikke i artikkel 35 dere skal begynne å lete etter svar. Start heller i artikkel 5, 6 og 9 i personvernforordningen. Hvis dere er usikre på om de registrertes rettigheter er innfridd, må dere se på artiklene 12-22.

Det meste av innholdet i en DPIA skal altså være gjort fra før. Alle har plikt til å ha en oversikt over behandlinger av personopplysninger som foretas i virksomheten som del av internkontrollen sin. Det en vurdering av personvernkonsekvenser krever i tillegg, er at dere iverksetter nødvendige tiltak for å oppfylle de registrertes rettigheter utover minimumskravene, når behandlingen utgjør en særskilt risiko for de registrerte (basert på art, omfang, formål og sammenheng). Med nødvendige tiltak mener vi her tiltak som går utover det som kreves av lovens ordlyd, men som etter en forholdsmessighetsvurdering er nødvendig for å sikre balansen mellom personverninteresser og virksomhetens interesser.

Sanksjoner

Etter forordningen kan manglende overholdelse av kravene til vurdering av personvernkonsekvenser, føre til at tilsynsmyndigheten pålegger sanksjoner. Hvis det ikke foretas en vurdering av personvernkonsekvenser der det er pålagt (se artikkel 35 nr. 1, 3, 4), eller hvis den utføres på en uriktig måte (se artikkel 35 nr. 2 og nr. 7–9), eller det unnlates å gjøre en forhåndsdrøftelse med tilsynsmyndigheten når det er et krav (se artikkel 36 nr. 3 bokstav e), kan det medføre administrative bøter på opptil 10 millioner euro, eller, om det gjelder en virksomhet, bøter på opptil 2 prosent av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet blir benyttet. 

Om innholdet i veilederen

Denne veiledningen tar utgangspunkt i anbefalingene fra Artikkel 29-gruppen (EUs rådgivende organ i personvernspørsmål). I tillegg kommer vi med mer utdypende forklaringer og anbefalinger. Utdypingene er blant annet basert på vår erfaring med konsesjonsbehandlinger. Mange av EU-landene har i motsetning til Norge ikke hatt plikt til å søke konsesjon for behandling av personopplysninger. 

Les den engelske versjonen av Artikkel 29-gruppens anbefalinger (ec.europa.eu)