Vurdering av personvernkonsekvenser (DPIA)

Vurdering av personvernkonsekvenser (DPIA)

Etter personvernregelverket har virksomhetene plikt til å vurdere personvernkonsekvensene i ulike løsninger de tar i bruk (Data Protection Impact Assessment - DPIA). Dette skal sikre personvernet til de som er registrert der. I noen sammenhenger vil det også være nødvendig å gjennomføre en forhåndsdrøftelse.

Innledning

Artikkel 35 definerer når det er påkrevd å gjøre en DPIA, hva den skal inneholde og hvem som skal gjennomføre den. Vi vil her gi råd og hjelp til hvordan dere kan gå frem gå frem.

Vi har også laget en sjekkliste som kan lastes ned og som oppsummerer innholdet i denne veiledningen:

Om DPIA

En vurdering av personvernkonsekvenser er en prosess som skal beskrive behandlingen av personopplysninger, og vurdere om den er nødvendig og proporsjonal. Den skal også bidra til å håndtere de risikoene behandlingen medfører for enkeltpersoners rettigheter og friheter ved å vurdere dem og fastlegge risikoreduserende tiltak.

Vurdering av personvernkonsekvenser er et viktig verktøy for ansvarlighet, ettersom det ikke bare hjelper den behandlingsansvarlige med å sikre samsvar med kravene i personvernforordningen, men også med å dokumentere at det er gjort tilstrekkelige tiltak for å sikre at regelverket overholdes (se også artikkel 24). Med andre ord er en vurdering av personvernkonsekvenser en prosess som skal bidra til å skape og påvise etterlevelse. 

En gjentagende prosess

Det er viktig å huske på at det å vurdere personvernkonsekvenser er en prosess som alltid skal gjennomføres for alle behandlinger. En konkret vurdering av personvernkonsekvenser etter artikkel 35 gjentar denne prosessen, men da først og fremst for å finne de ekstra tiltakene som må til for å redusere en høy risiko som man ikke har klart å redusere tidligere.  

Å gjennomføre en DPIA reparerer ikke en ulovlig behandling av personopplysninger. Det er viktig å være oppmerksom på at alle behandlinger av personopplysninger i utgangspunktet skal oppfylle alle grunnkrav i forordningens øvrige bestemmelser. Hvis dere er usikre på om en behandling er lovlig, er det ikke i artikkel 35 dere skal begynne å lete etter svar. Start heller i artikkel 5, 6 og 9 i personvernforordningen. Hvis dere er usikre på om de registrertes rettigheter er innfridd, må dere se på artiklene 12-22.

Det meste av innholdet i en DPIA skal altså være gjort fra før. Alle har plikt til å ha en oversikt over behandlinger av personopplysninger som foretas i virksomheten som del av internkontrollen sin. Det en vurdering av personvernkonsekvenser krever i tillegg, er at dere iverksetter nødvendige tiltak for å oppfylle de registrertes rettigheter utover minimumskravene, når behandlingen utgjør en særskilt risiko for de registrerte (basert på art, omfang, formål og sammenheng). Med nødvendige tiltak mener vi her tiltak som går utover det som kreves av lovens ordlyd, men som etter en forholdsmessighetsvurdering er nødvendig for å sikre balansen mellom personverninteresser og virksomhetens interesser.

Sanksjoner

Etter forordningen kan manglende overholdelse av kravene til vurdering av personvernkonsekvenser, føre til at tilsynsmyndigheten pålegger sanksjoner. Hvis det ikke foretas en vurdering av personvernkonsekvenser der det er pålagt (se artikkel 35 nr. 1, 3, 4), eller hvis den utføres på en uriktig måte (se artikkel 35 nr. 2 og nr. 7–9), eller det unnlates å gjøre en forhåndsdrøftelse med tilsynsmyndigheten når det er et krav (se artikkel 36 nr. 3 bokstav e), kan det medføre administrative bøter på opptil 10 millioner euro, eller, om det gjelder en virksomhet, bøter på opptil 2 prosent av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet blir benyttet. 

Om innholdet i veilederen

Denne veiledningen tar utgangspunkt i anbefalingene fra Artikkel 29-gruppen (EUs rådgivende organ i personvernspørsmål). I tillegg kommer vi med mer utdypende forklaringer og anbefalinger. Utdypingene er blant annet basert på vår erfaring med konsesjonsbehandlinger. Mange av EU-landene har i motsetning til Norge ikke hatt plikt til å søke konsesjon for behandling av personopplysninger. 

Les den engelske versjonen av Artikkel 29-gruppens anbefalinger (ec.europa.eu)

Når må man gjennomføre en vurdering av personvernkonsekvenser?

I dette kapittelet sier vi litt overordnet om i hvilke tilfeller en vurdering av personvernkonsekvenser (DPIA) skal gjennomføres. I de neste kapitlene vil vi utdype dette nærmere. Vi vil blant annet også si litt om når den eventuelt bør gjennomføres og hvem som har ansvaret, samt situasjoner der det ikke er nødvendig å gjennomføre en DPIA.

I tillegg står det at Datatilsynet har plikt til å utarbeide og offentliggjøre en liste over behandlingsaktiviteter som krever vurdering av personvernkonsekvenser. Aktivitetene på denne lista krever alltid en vurdering av personvernkonsekvenser fordi det etter Datatilsynets vurdering er sannsynlig at de vil medføre høy risiko for fysiske personers rettigheter og friheter.

Når den behandlingsansvarlige skal vurdere om en vurdering av personvernkonsekvenser er påkrevd, bør de gjøre følgende:

  1. Sjekk om den aktuelle behandlingen står på Datatilsynets liste over behandlingsaktiviteter som alltid krever vurdering.
  2. Hvis ikke, gjennomfør en vurdering av om behandlingen vil medføre høy risiko for fysiske personers rettigheter og friheter.

Der en DPIA har blitt gjennomført og risikoen endrer seg underveis, må den behandlingsansvarlige vurdere om behandlingen fremdeles er i tråd med vurderingen som har blitt gjennomført.

Når må man gjennomføre en DPIA?

Forordningen gir dessuten noen eksempler på når en behandling sannsynligvis vil medføre en høy risiko.

Dette er ikke ment å være en uttømmende liste med eksempler. Det kan foreligge høy risiko ved andre behandlinger som ikke omfattes av denne listen. For disse skal det også gjennomføres en vurdering av personvernkonsekvenser. Dette kommer vi nærmere tilbake til i de neste kapitlene.

I de tilfellene der det er usikkert om det er nødvendig å gjennomføre en vurdering av personvernkonsekvenser eller ikke, anbefaler vi at det gjøres fordi det er et nyttig verktøy for å sikre at personvernforordningen følges.

Datatilsynets liste over behandlingsaktiviteter som alltid krever at det gjennomføres en DPIA

  • Personopplysninger samlet inn via en tredjepart i følge med minst ett annet kriterium *.
    • For eksempel innsamling og sammenstilling av personopplysninger fra tredjeparter for å avgjøre om den registrerte skal få tilbud om, fortsette å motta, eller nektes et produkt, en tjeneste eller et tilbud. (Sårbare registrerte og evaluering/poengsetting)
  • Behandling av biometriske opplysninger for å identifisere enkeltpersoner i følge med minst ett annet kriterium *.
    • For eksempel behandling av biometriske opplysninger for å identifisere enkeltpersoner i stor skala. (Særlige kategorier av opplysninger eller svært personlige opplysninger og stor skala.)
  • Behandling av genetiske opplysninger i følge med minst ett annet kriterium *.
    • For eksempel behandling av genetiske opplysninger i stor skala, inkludert gensekvensering. (Særlige kategorier eller svært personlige opplysninger og stor skala.)
  • Behandling av personopplysninger med innovativ teknologi i følge med minst ett annet kriterium *.
    • For eksempel behandling av helseopplysninger med innovativ velferdsteknologi som helseimplantater. (Innovativ bruk og særlige kategorier av opplysninger.)
  • Behandling av personopplysninger for systematisk monitorering av ansatte.
    • For eksempel overvåking av ansattes internettaktivitet, elektroniske kommunikasjon og kameraovervåking. (Sårbare registrerte og systematisk monitorering.)
  • Behandling av personopplysninger, uten samtykke, for vitenskapelige eller historiske formål i følge med minst ett annet kriterium *.
    • For eksempel behandling av helseopplysninger for forskningsformål uten den registrertes samtykke. (Evaluering og særlige kategorier av opplysninger eller svært personlige opplysninger.)
  • Behandling av lokasjonsdata i følge med minst ett annet kriterium *.
    • For eksempel systematisk sammenstilling av den registrertes lokasjons- og trafikkdata fra teleoperatører eller behandling av personopplysninger om abonnentens bruk av telenettet eller teleoperatørens tjenester. (Svært personlige opplysninger og systematisk monitorering.)
  • Behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager.
    Dette inkluderer alle utdanningsnivåer, fra barne- og ungdomsskole, videregående skoler og høyere utdanning. (Sårbare registrerte og systematisk monitorering.)
  • Systematisk monitorering, inkludert kameraovervåking, på offentlig tilgjengelige områder i stor skala. (Systematisk monitorering og stor skala.)
  • Kameraovervåking i skoler og barnehager i åpningstider. (Systematisk monitorering og sårbare registrerte)
  • Behandling av særlige kategorier av personopplysninger eller svært personlige opplysninger i stor skala for algoritmetrening.
  • Behandling av personopplysninger ved å systematisk monitorere effektivitet, ferdigheter, kunnskap, mental helse og utvikling. (Svært personlige opplysninger og systematisk monitorering).
  • Behandling av personopplysninger der formålet er å tilby en tjeneste eller utvikle produkter for kommersiell bruk som involverer å forutsi jobbprestasjoner, økonomi, helse, personlige preferanser eller interesser, pålitelighet, adferd, lokasjon eller bevegelsesmønster. (Særlige kategorier av personopplysninger eller svært personlige opplysninger og evaluering/poengsetting).
  • Innsamling av personopplysninger i stor skala gjennom «tingenes internett» eller velferdsteknologi. (Stor skala og særlige kategorier av opplysninger eller svært personlige opplysninger.)

* Les mer i avsnittet «Artikkel 29-gruppens kriterier for å vurdere behov for DPIA». 

Denne listen er godkjent av Det europeiske personvernrådet. (For mer informasjon om kriteriene det refereres til i denne listen, se kapittelet "Når er det høy risiko?" i DPIA-veilederen.)

Når kreves det ikke en vurdering av personvernkonsekvenser (DPIA)?

Her er en oversikt over noen situasjoner der det anses at det ikke kreves en vurdering av personvernkonsekvenser:

  • Dersom behandlingen sannsynligvis ikke «vil medføre en høy risiko».
  • Dersom behandlingens art, omfang, sammenheng og formål er veldig lik en behandling det allerede er gjennomført en vurdering av personvernkonsekvenser for. I slike situasjoner kan resultatet fra den foreliggende vurderingen for lignende behandlinger brukes.
  • Dersom behandlingen er kontrollert av en tilsynsmyndighet før mai 2018 på særskilte betingelser, og at disse ikke har endret seg. (I Norge vil en slik kontroll vanligvis bety at man har hatt konsesjon).
  • Dersom en behandling er i samsvar med artikkel 6 nr. 1 bokstav c eller bokstav e og har et rettsgrunnlag etter EU-retten eller nasjonal lovgiving, der tilhørende lovgivning regulerer den spesifikke behandlingen og en vurdering av personvernkonsekvenser allerede er gjennomført som ledd i utarbeidelse av rettsgrunnlaget (artikkel 35 nr. 10), unntatt hvis medlemsstaten har bestemt at det er nødvendig å gjennomføre en vurdering av personvernkonsekvenser forut for behandlingen.

Merk at Justisdepartementet har skrevet følgende i proposisjon 56 LS(2017-2018), kapittel 16.5.5:

«Etter departementets vurdering er unntaket fra plikten til vurdering av personvernkonsekvenser i forordningen artikkel 35 nr. 10 så snevert at det ikke synes nødvendig på nåværende tidspunkt å fastsette noen nasjonale unntak fra unntaket. Unntaket kommer bare til anvendelse når det supplerende rettsgrunnlaget for behandlingen inneholder en spesifikk regulering av de ulike behandlingsaktivitetene, noe som sjelden er tilfelle. Hvis behandlingsaktivitetene først er spesifikt regulert i lov eller forskrift, og personvernkonsekvensene allerede er vurdert i den forbindelse, kan departementet ikke se at en vurdering av personvernkonsekvenser vil ha en så stor tilleggsverdi at det er nødvendig å pålegge dette også i disse tilfellene.

At unntaket fører til grensedragningsspørsmål, er etter departementets oppfatning ikke et tilstrekkelig tungtveiende hensyn til at det er nødvendig å pålegge en plikt til vurdering av personvernkonsekvenser. Risikoen for misforståelser av rekkevidden av unntaket kan reduseres med informasjon og veiledning. Departementet foreslår ingen utvidet plikt til forhåndsdrøfting med tilsynsmyndigheten etter artikkel 36 nr. 5. Det foreslås imidlertid en forskriftshjemmel som åpner for slike bestemmelser, se lovforslaget § 14.»

En DPIA skal gjennomføres før behandlingen starter

En eventuell vurdering av personvernkonsekvenser skal gjennomføres før behandlingen settes igang. Dette er i samsvar med prinsippene om innebygd personvern og personvern som standardinnstilling (artikkel 25 og fortalepunkt 78). Vurderingen skal være et verktøy til bruk i beslutningsprosesser som gjelder behandlingen.

En vurdering av personvernkonsekvenser bør starte så tidlig som mulig i utformingen av behandlingsprosessen, selv om enkelte elementer i behandlingsprosessen fremdeles er ukjente. En oppdatering av vurderingen under prosjektets livssyklus vil sikre personopplysningsvern og personvern, og vil bidra til at det utvikles løsninger som fremmer regeletterlevelse. Det kan også være nødvendig å gjenta enkelte steg i vurderingen underveis i utviklingsprosessen, siden valg av visse tekniske eller organisatoriske tiltak kan påvirke alvorlighetsgraden eller sannsynligheten for at det oppstår ny risiko knyttet til behandlingen. Vurderingen av personvernkonsekvenser skal være en kontinuerlig prosess, spesielt når behandlingen er dynamisk og endres løpende.

Det er viktig å huske at å gjennomføre en DPIA ikke reparerer en ulovlig behandling av personopplysninger. Vær derfor oppmerksom på at den behandling som man vurderer om skal gjennom en DPIA-prosess, som et utgangspunkt også skal oppfylle alle grunnkravene som følger av forordningens øvrige bestemmelser.

Behandlingsansvarlig har ansvaret

Det er den behandlingsansvarlige som er ansvarlig for å sikre at vurdering av personvernkonsekvenser gjennomføres (artikkel 35 nr. 2). Vurderingen kan gjennomføres av noen andre, innenfor eller utenfor virksomheten, men det er den behandlingsansvarlige som har det øverste ansvaret for denne oppgaven.

I artikkel 24 nr. 1 fastsettes den behandlingsansvarliges grunnleggende ansvar for etterlevelse av forordningen: «Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.»

I tillegg må relevante personer kobles på prosessen:

  1. Den behandlingsansvarlige må rådføre seg med personvernombudet dersom det er utpekt. Personvernombudets råd sammen med beslutningene den behandlingsansvarlige tar, bør dokumenteres i vurderingen. Personvernombudet skal også kontrollere gjennomføringen av en DPIA (artikkel 39 nr. 1 bokstav c). 
  2. Dersom behandlingen helt eller delvis gjennomføres av en databehandler, bør databehandleren bistå den behandlingsansvarlige i gjennomføringen av en DPIA og fremlegge all nødvendig informasjon (i henhold til artikkel 28 nr. 3 bokstav f). Databehandlerens roller og ansvar skal nedfelles i en avtale. I avtalen bør det også stå at databehandleren blant annet skal bistå i vurderingen av personvernkonsekvenser. 
  3. Den behandlingsansvarlige skal videre «dersom det er relevant, innhente synspunkter på den planlagte behandlingen fra de registrerte eller deres representanter» (artikkel 35 nr. 9). Dette er noe Datatilsynet anbefaler fordi det kan bidra til å forutse og besvare de registrertes eventuelle innvendinger og bekymringer. Dette kan igjen kan bidra til å se de registrertes perspektiv og øke deres tillit til virksomheten og dens behandlinger. 

i) Disse synspunktene kan innhentes på ulike måter, avhengig av sammenhengen (for eksempel en generell studie relatert til behandlingsaktivitetens formål og hensikt, et spørsmål til medarbeiderrepresentanter eller vanlige spørreskjema som sendes til den behandlingsansvarliges framtidige kunder), for å sikre at den behandlingsansvarlige har rettslig grunnlag for behandling av personopplysninger som fremkommer ved innhenting av slike synspunkter. Husk at et samtykke til behandling ikke regnes som en tilbakemelding fra de registrerte.

ii) Om den behandlingsansvarliges endelige beslutninger skiller seg fra de registrertes synspunkter, skal begrunnelsene den behandlingsansvarlige har for å fortsette eller ikke, dokumenteres.

iii) Den behandlingsansvarlige skal også dokumentere begrunnelsen for ikke å innhente synspunkter fra de registrerte, om han eller hun bestemmer at det ikke er hensiktsmessig. For eksempel om dette kan avsløre forretningssensitiv informasjon, eller vil være uforholdsmessig eller umulig.

Det er også god praksis å definere og dokumentere andre spesifikke roller og ansvarsområder, avhengig av interne strategier, prosesser og regler, for eksempel følgende:

  • Når spesifikke avdelinger i virksomheten kan foreslå at det gjennomføres en vurdering av personvernkonsekvenser, bør disse bidra med informasjon til vurderingen og være involvert i evalueringsprosessen.
  • Når det er aktuelt, anbefales det å innhente synspunkter fra uavhengige eksperter fra ulike yrkesgrupper (jurister, IT-eksperter, sikkerhetseksperter, sosiologer, etikkspesialister og så videre). 
  • Den ansvarlige for informasjonssikkerheten, hvis en slik er utpekt, og personvernombudet, kan foreslå at den behandlingsansvarlige skal gjennomføre en vurdering av personvernkonsekvenser for en bestemt behandling. De bør også hjelpe berørte aktører med metodikk, samt hjelpe til å evaluere kvaliteten på risikovurderingen og hvorvidt restrisikoen er akseptabel. I tillegg bør de utvikle kunnskap som er spesifikk for den behandlingsansvarliges situasjon. 
  • Den ansvarlige for informasjonssikkerheten, hvis en slik er utpekt, og/eller IT-avdelingen, bør bistå den behandlingsansvarlige. Den eller de kan foreslå at en vurdering av personvernkonsekvenser skal gjennomføres for en bestemt behandling, avhengig av sikkerhetsbehov eller operative behov.

Hva kan en vurdering av personvernkonsekvenser omfatte?

Kan benyttes til en eller flere behandlinger eller prosjekter

En vurdering av personvernkonsekvenser kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer (artikkel 35 nr. 1).

I tillegg står det i fortalen punkt 92 at «I noen tilfeller kan det være rimelig og økonomisk å utvide vurderingen av personvernkonsekvenser til å omfatte mer enn ett prosjekt, f.eks. dersom offentlige myndigheter eller organer har planer om å innføre en felles applikasjon eller behandlingsplattform, eller dersom flere behandlingsansvarlige planlegger å innføre en felles applikasjon eller et felles behandlingsmiljø på tvers av en industrisektor eller -segment eller for en horisontal aktivitet som er i utstrakt bruk».

Kan gjenbrukes til lignende behandlinger

En enkelt vurdering av personvernkonsekvenser kan brukes for å vurdere flere behandlinger som ligner på hverandre med hensyn til art, omfang, sammenheng, formål og risiko. Formålet med en slik vurdering er å sikre en systematisk undersøkelse av nye situasjoner som kan medføre høy risiko for fysiske personers rettigheter og friheter.

Det er ikke nødvendig å utføre en vurdering av personvernkonsekvenser i situasjoner (det vil si behandlinger som utføres i en spesifikk sammenheng og for et spesifikt formål) som allerede har vært undersøkt. Dette kan være tilfelle når samme type teknologi benyttes til å samle inn samme type opplysninger til samme formål.

Eksempler

  • En gruppe kommunale myndigheter som hver for seg innfører et lignende kameraovervåkingssystem, kan utføre én enkelt vurdering av personvernkonsekvenser.
  • Et jernbaneselskap (én enkelt behandlingsansvarlig) som gjennomfører én vurdering av personvernkonsekvenser for kameraovervåking på samtlige togstasjoner.

På samme måte kan denne fremgangsmåten benyttes når lignende behandlinger gjennomføres av ulike behandlingsansvarlige. I disse tilfellene bør en referansevurdering deles eller gjøres offentlig tilgjengelig. Tiltakene som beskrives i vurderingen, skal gjennomføres/implementeres og det skal begrunnes hvorfor kun én enkelt vurdering er gjennomført.

Dersom behandlingen omfatter flere behandlingsansvarlige med felles behandlingsansvar, skal deres respektive plikter defineres spesifikt. Vurderingen av personvernkonsekvenser skal vise hvilken av de behandlingsansvarlige som er ansvarlig for de ulike tiltakene som er utformet. Hver behandlingsansvarlig bør legge frem sine behov og dele nyttig informasjon uten å videreformidle konfidensielle opplysninger (slik som forretningshemmeligheter og immaterielle rettigheter) eller avsløre sårbarheter.

Kan benyttes på tekniske produkter

Det kan også være nyttig å vurdere personvernkonsekvenser i forbindelse med utvikling/bruk av et teknisk produkt. Dette kan for eksempel være maskinvare eller programvare, som sannsynligvis kommer til å benyttes av ulike behandlingsansvarlige for ulike behandlinger. Den behandlingsansvarlige som benytter produktet, må naturligvis fremdeles utføre sin egen vurdering av personvernkonsekvenser med hensyn til den konkrete behandlingen. Denne kan imidlertid understøttes av leverandørens vurdering av personvernkonsekvenser dersom det er relevant.

Eksempel

Et eksempel på dette er forholdet mellom en produsent av intelligente målere og energileverandører. Den enkelte tilbyder av produktet eller databehandleren bør utveksle nyttig informasjon uten å videreformidle forretningshemmeligheter eller skape sikkerhetsrisiko ved å avsløre sårbarheter.

Må man vurdere personvernkonsekvenser for behandlingsaktiviteter som allerede er satt i gang?

Det er ikke et krav å vurdere personvernkonsekvensene for behandlinger som tidligere har blitt kontrollert av Datatilsynet eller personvernombudet, og som ikke har endret seg siden forrige kontroll.

«Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndigheter på grunnlag av direktiv 95/46/EF, skal fortsette å gjelde fram til de endres, erstattes eller oppheves.» (Forordningens fortale punkt 171)

Det innebærer at en behandling av personopplysninger som gjennomføres på en måte (omfang, formål, innsamlede personopplysninger, behandlingsansvarliges eller mottakernes identitet, lagringstid, tekniske og organisatoriske tiltak og så videre) som har endret seg siden den forutgående kontrollen ble gjennomført av tilsynsmyndigheten eller personvernombudet, og som sannsynligvis vil medføre en høy risiko, bør gjennomgå en vurdering av personvernkonsekvenser.

Endringer i risiko?

Det kan også kreves en vurdering av personvernkonsekvenser (DPIA) dersom det har skjedd endringer i risikoene som oppstår gjennom behandlingen. Det kan for eksempel være ved at ny teknologi har blitt tatt i bruk eller ved at personopplysninger brukes til et annet formål. Behandlingsaktiviteter kan utvikle seg raskt og nye sårbarheter kan oppstå. En revisjon av en DPIA fremmer ikke bare kontinuerlige forbedringer, men er også viktig for å opprettholde et høyt beskyttelsesnivå i et miljø som endrer seg over tid.

Motsatt kan visse endringer også minske risikoen. For eksempel kan en behandling utvikles slik at beslutninger ikke lenger er automatisert eller at en overvåkingsaktivitet ikke lenger er systematisk. I så fall kan en gjennomført risikoanalyse vise at det ikke lenger er behov for vurdering av personvernkonsekvenser.

Endringer i organisatoriske eller sosiale sammenhenger?

En vurdering av personvernkonsekvenser kan også bli nødvendig på grunn av endringer i behandlingens organisatoriske eller sosiale sammenheng. For eksempel ved at effektene av visse automatiske beslutninger får økt betydning eller ved at nye kategorier av registrerte blir sårbare for forskjellsbehandling. Hvert av disse eksemplene kan være et element som medfører endring i risikoen som oppstår ved den aktuelle behandlingen og krever derfor en ny vurdering av personvernkonsekvenser. 

Risiko og risikovurdering

I dette og neste kapittel finner dere utdypninger av hva som ligger i risiko og risikovurderinger.

Den behandlingsansvarlige sin plikt til å utføre en vurdering av personvernkonsekvenser i gitte tilfeller, skal forstås med bakgrunn i deres generelle forpliktelse til å sikre en hensiktsmessig håndtering av de risikoer som oppstår ved behandling av personopplysninger.

Om risiko, rettigheter og personvern

En «risiko» er et scenario som beskriver en hendelse og dens estimerte konsekvenser basert på alvorlighet og sannsynlighet. Risikohåndtering kan defineres som samordnede aktiviteter for å styre og kontrollere en virksomhet basert på risiko.

  • Digitaliseringsdirektoratet (Digdir) definerer risiko slik: «Risiko handler om potensielle avvik fra det forventede eller potensielle avvik fra våre mål. Med det referansepunktet defineres risiko formelt som en kombinasjon av mulige konsekvenser (utfall eller resultat) og tilhørende usikkerhet.»
    De sier også at «usikkerhet kvantifiseres ved hjelp av sannsynligheter. Vi benytter derfor ofte en variant av definisjonene og sier at risiko er kombinasjonen av (mulige) konsekvenser og (tilhørende) sannsynligheter, eller bare at risiko er kombinasjonen av konsekvens og sannsynlighet». Les mer om hva risiko er på Digdir sine nettsider
  • Artikkel 35 viser til sannsynlighet for høy risiko «for fysiske personers rettigheter og friheter». Med ivaretagelse av «rettigheter og friheter» menes det at de registrertes rettigheter i henhold til forordningens artikler 12-22 og andre grunnleggende friheter (privatliv, kommunikasjonsvern, personvern, ytringsfrihet, religionsfrihet, retten til å organisere seg, retten til ikke å bli diskriminert osv.) som følger av blant annet den europeiske menneskerettighetskonvensjon (EMK), FNs konvensjoner om henholdsvis sivile og politiske rettigheter (SP), og økonomiske, sosiale og kulturelle rettigheter (ØSK) skal overholdes.
  • I tillegg til dette bør prinsippene for behandling av personopplysninger i artikkel 5 være oppfylt. For det første er pliktene knyttet til de registrertes rettigheter i artiklene 12-22 bygget på prinsippene i artikkel 5. For det andre har retten til privatliv i EMK et videre nedslagsfelt enn personvernforordningen (et personopplysningsvern er en mer korrekt beskrivelse). Retten til privatliv i EMK kan omfatter derfor de grunnleggende prinsippene for behandling av personopplysninger.
  • I følge Artikkel 29-gruppen omfatter de registrertes «rettigheter og friheter» først og fremst personopplysningsvern og personvern. Det kan også omfatte andre grunnleggende rettigheter som ytringsfrihet, tankefrihet, bevegelsesfrihet, forbud mot diskriminering, retten til frihet, samvittighets- og religionsfrihet.

I neste kapittel vil vi utdype begrepet «høy risiko» nærmere.

Vurdering av sikkerhetsrisiko versus vurdering av personvernkonsekvenser

I artikkel 24, 25, 32 og 35 i forordningen stilles det krav til at behandlingsansvarlige og databehandlere skal gjøre risikovurderinger. Kravene til risikovurderinger gjelder risiko for de registrertes rettigheter og friheter. Vurderingen av risiko relateres blant annet til behandlingens art, omfang, formål og sammenhengen den utføres i. Felles for risikovurderingene er at det skal gjøres en verdivurdering og en trusselvurdering relatert til personopplysningene og til de registrertes rettigheter og friheter.

I artikkel 32 relateres risikovurderingen til personopplysningssikkerhet for behandlingen. Denne risikovurderingen skal alltid gjennomføres før alle behandlinger og oppdateres regelmessig og ved endringer. Risikovurderingen skal identifisere områder som kan medføre utilsiktet eller uautorisert (ulovlig) tilgang, endring, sletting, tap eller utlevering av personopplysninger. Målet med vurderingen er å få kunnskap om hvilke risiko som eksisterer. Dette er nødvendig for å kunne iverksette tilstrekkelig risikoreduserende tiltak så man kan oppnå et akseptabelt sikkerhetsnivå ved behandlingen.

I artikkel 35 relateres risikovurderingen til personvernkonsekvenser (DPIA). Den skal gjennomføres for behandlingsaktiviteter som sannsynligvis «vil medføre en høy risiko for fysiske personers rettigheter og friheter». Slik Datatilsynet forstår dette kravet, er hensikten å håndtere risiko i inngripende behandlinger som medfører økt fare for å krenke fysiske personers rettigheter og friheter. Sikkerhetstiltak vil ikke nødvendigvis redusere denne faren og en behandlingsansvarlig må i stedet finne risikoreduserende tiltak ved å endre på hvordan behandlingen skal utføres og hvordan rettighetene ivaretas. I denne vurderingen anbefaler vi at virksomheten tar den registrertes perspektiv ved gjennomføring av DPIA.

Den registrertes perspektiv

Modell av de registrertes perspektivVerdiene det er ønske om å beskytte i en vurdering av personvernkonsekvenser, er de registrertes rettigheter og friheter. Det vil både si de registrertes rettigheter etter personvernforordningen, og andre grunnleggende rettigheter som retten til privatliv, kommunikasjonsvern, ytringsfrihet, tankefrihet, bevegelsesfrihet, forbud mot diskriminering, retten til frihet og samvittighets- og religionsfrihet.

Illustrasjonen viser de viktigste målene for å sikre reell innfrielse av disse rettighetene og frihetene når konteksten er en behandling med høy risiko for å ikke innfri disse rettighetene: 

  1. Medbestemmelse

    For å oppnå medbestemmelse kan det innføres tiltak som sikrer den registrerte reell innflytelse på hvordan hans eller hennes personopplysninger skal behandles.

    Eksempler på tiltak kan være særskilt spesifisering av samtykke, regelmessig fornying av samtykke, å innhente nytt samtykke fra barn når de når samtykkealder eller en særskilt tilrettelagt innsynsløsning med muligheter for redigering, sletting og tilbaketrekking av samtykke. Et annet eksempel er å gi reell mulighet til reservasjon når behandlingsgrunnlaget er interesseavveiingen i artikkel 6 bokstav f.
  2. Åpenhet

    Dette kan oppnås ved at virksomheten innfører tiltak som sikrer reell åpenhet omkring alle sider av behandlingen av personopplysninger. Dette vil typisk være tiltak knyttet til informasjon og innsyn.

    Eksempler på dette er regelmessig informasjon om behandlingen, særskilt varsel før overføring av personopplysninger fra et register til et annet eller en særskilt tilrettelagt innsynsløsning med oversikt over hvor opplysninger blir utlevert, tegninger som illustrerer dataflyt, mulighet for dataportabilitet og lav terskel for å informere om sikkerhetsavvik. Åpenhet omfatter også informasjon om organisatoriske og tekniske tiltak som beskytter personopplysningene, og informasjon om programvare og algoritmer som benyttes og liknende.
  3. Forutsigbarhet

    Virksomheten kan innføre tiltak for å gjøre en behandling av personopplysninger mindre kompleks og dermed lettere å forstå.

    Eksempler kan være spesifisering av formålene for behandlingene, å ha klare kriterier for hvorfor en person inkluderes i et utvalg for forskning, å innføre klare begrensninger for kobling mellom registre, å redusere antall variabler, og å redusere lagringstid for opplysningene.
  4. Tillit

    Tillit kan skapes ved at virksomheten demonstrerer at medbestemmelse, åpenhet og forutsigbarhet er reelle mål. Dere kan også vise at dere tar personvern på alvor ved å bruke ressurser på prosesser og funksjonalitet som reelt sett styrker den registrertes posisjon til å ivareta sine rettigheter og friheter.

Risiko må vurderes kontinuerlig

I overensstemmelse med den risikobaserte metoden i forordningen er det ikke obligatorisk å utføre en vurdering av personvernkonsekvenser for hver behandling. Det er i stedet kun krav om å utføre en vurdering av personvernkonsekvenser dersom behandlingen sannsynligvis «vil medføre en høy risiko for fysiske personers rettigheter og friheter» (artikkel 35 nr. 1).

Selv om vilkårene som utløser plikten til å gjennomføre en vurdering av personvernkonsekvenser ikke er oppfylt, reduseres ikke den behandlingsansvarliges generelle plikter til å gjennomføre tilstrekkelige tiltak for håndtering av risiko relatert til de registrertes rettigheter og friheter. I praksis innebærer dette at behandlingsansvarlige kontinuerlig må vurdere risikoen som oppstår ved deres behandlingsaktiviteter for å identifisere når en type behandling sannsynligvis «vil medføre en høy risiko for fysiske personers rettigheter og friheter».

Følgende figur illustrerer trinnene i en prosess for vurdering av personvernkonsekvenser (DPIA):

Trinnene ved vurdering av personvernkonsekvenser

Hva skal vurderes?

For å bestemme risiko, må vi derfor si noe om konsekvensen av at de registrertes rettigheter og friheter ikke blir tilstrekkelig ivaretatt og sannsynligheten (kvantifisering av usikkerhet) for at dette vil skje.

Det som skal vurderes er konsekvensen av og sannsynligheten for at (ikke-uttømmende liste):

  • personopplysninger behandles uten rettslig grunnlag
  • personopplysninger behandles på en ikke rettferdig måte
  • det ikke er tilstrekkelig åpenhet rundt behandlingen av personopplysninger
  • det samles inn mer personopplysninger enn det som er nødvendig for formålet
  • personopplysningene som behandles ikke er korrekte
  • personopplysninger lagres lengre enn det som er nødvendig for formålet
  • den registrerte ikke får tilstrekkelig informasjon til å gjøre et informert valg
  • den registrerte ikke får innsyn i hvilke personopplysninger som er lagret
  • den registrerte ikke får korrigert eller slettet sine personopplysninger
  • det ikke er lagt til rette for dataportabilitet
  • de registrertes rettigheter ikke ivaretas ved profilering
  • behandlingen kan resultere i diskriminering
  • behandlingen begrenser ytringsfrihet og religionsfrihet

Konsekvensen av at rettighetene og frihetene ovenfor ikke blir innfridd kan være både fysisk, materiell og ikke-materiell skade. Noen eksempler på skade som er fremhevet i personvernforordningens fortale (punkt 75) er:

  • forskjellsbehandling
  • identitetstyveri eller -bedrageri
  • økonomisk tap
  • skade på omdømme
  • tap av fortrolighet for taushetsbelagte personopplysninger
  • uautorisert oppheving av pseudonymisering
  • andre økonomiske eller sosiale ulemper

Når er det «høy risiko»?

Vi utdyper her hva begrepet «høy risiko» betyr, og hvilke spørsmål virksomheten må stille for å ta stilling til om deres behandlinger av personopplysninger har høy risiko.

Personvernforordningen artikkel 35 slår fast at en vurdering av personvernkonsekvenser skal gjennomføres når det er sannsynlig at en viss type behandling av personopplysninger medfører høy risiko for at de registrertes rettigheter og friheter etter forordningen ikke ivaretas. Hvilken typen behandling dette gjelder, er ikke nærmere beskrevet.

Enhver behandling av personopplysninger innebærer en viss risiko for at rettigheter og friheter etter personvernforordningen ikke ivaretas. Plikten til å gjennomføre en vurdering av personvernkonsekvenser gjelder heller ikke for enhver risiko. Risikoen skal være «høy». Det er konsekvensen og sannsynligheten for avvik fra målet (ivaretagelse av rettigheter og friheter) som skal vurderes som større enn normalt.

Momenter i vurderingen av om en behandling av personopplysninger utgjør en høy risiko er følgende (vi vil gå nærmere gjennom disse fire vurderingskriteriene under):

  1. behandlingens art
  2. behandlingens omfang
  3. behandlingens formål
  4. sammenhengen behandlingen utføres i (kontekst)

Det betyr at visse typer behandling av personopplysninger anses å innebære en mer alvorlig inngripen i personvernet enn andre. Det er fordi:

  • Personopplysningene som behandles er av en særskilt sensitiv karakter.
  • Måten personopplysningene behandles på utgjør et særskilt inngrep i de registrertes rettigheter og friheter.

1. Behandlingens art

For å si noe om hvilken art en bestemt behandling av personopplysninger er, så må behandlingens iboende karakteristikk beskrives.

  • Er det en behandling som gjør det lett eller vanskelig for de registrerte å utøve sine rettigheter?
  • Er det en behandling som fra den registrertes synsvinkel preges av uforutsigbarhet og lite åpenhet?
  • Er det usikkerhet knyttet til hvordan grunnleggende prinsipper for behandling av personopplysninger ivaretas, jf. artikkel 5?

En behandlingsmåte som omtales flere steder i forordningen er «systematisk behandling av personopplysninger». Begrepet «systematisk» er ikke definert i forordningsteksten, men Artikkel 29-gruppen har fortolket det som en behandling som fyller en av de følgende beskrivelsene:

Behandlingen

  • skjer i henhold til et system
  • er forhåndsarrangert (planlagt) organisatorisk eller metodisk
  • skjer som følge av en plan om å samle inn personopplysninger
  • skjer som en del av en strategi

Grunnen til at systematisk behandling av personopplysninger anses som særskilt inngripende er at den skjer kontinuerlig (fanger opp mye personopplysninger) og kan fremstå som lite forutsigbar for de det behandles personopplysninger om. Innsamlingen skjer gjerne på en slik måte at de registrerte ikke er klar over at deres opplysninger registreres, hvem som gjør det eller hvordan opplysningene brukes. I noen tilfeller er det heller ikke mulig å unngå å bli inkludert, eller registrert, fordi området som monitoreres er offentlig (for eksempel Oslo S og Oslo lufthavn).

Hvilke kategorier av personopplysninger som behandles kan også være en del av beskrivelsen av behandlingens art. Hvis behandlingen omfatter personopplysninger som er definert som «særlige kategorier» i artikkel 9, personopplysninger om straffbare handlinger i artikkel 10, elektronisk kommunikasjon, lokasjonsdata, opplysninger om privatøkonomi, «life-logging applications» også videre. Dette vil i tilfelle være momenter som taler for at risikoen kan være høy.

En annen type behandling som sier noe om art, er behandling av personopplysninger når maktforholdet mellom behandlingsansvarlig og den registrerte er skjevt. Med skjev maktbalanse menes det i denne sammenheng at det ikke er enkelt for den registrerte å samtykke, protestere på behandlingen eller utøve sine øvrige rettigheter.

Det er også relevant for behandlingens art om behandling av personopplysninger skjer ved bruk av ny teknologi eller ny bruk av eksisterende teknologi hvor personvernkonsekvenser ikke har vært vurdert.

2. Behandlingens omfang

Behandlinger av personopplysninger i stort omfang omtales ofte i forordningen som «stor skala». Heller ikke dette begrepet er definert i forordningsteksten, men vi finner noen holdepunkter for hva det innebærer i fortalen. Der står det at dette dreier seg om behandling av en betydelig mengde personopplysninger (mange variabler) som kan påvirke et stort antall registrerte (punkt 91).

Artikkel 29-gruppen uttaler at følgende faktorer bør vektlegges når det tas stilling til om en behandling av personopplysninger skjer i «stor skala»:

  • antall registrerte involvert (i tall eller prosentandel av utvalget)
  • volumet av data (antall variabler, detaljeringsgrad)
  • lagringstid (kort, tidsavgrenset, permanent)
  • geografisk omfang (lokalt, regionalt, nasjonalt, internasjonalt, globalt)

3. Behandlingens formål

For å ta stilling til graden av risiko, er det relevant å vektlegge hva personopplysningene, etter planen, skal brukes til. Dersom formålet med bruken er av en slik art at det kan resultere i en inngripen i den private sfære, kan det være moment som taler for at risikoen er høy.

Eksempler på formål som er av en inngripende art er:

  • kontrollformål (for eksempel skatt, NAV, toll, politi, forsikring)
  • formålet er å treffe avgjørelser om enkeltpersoner basert på systematisk og omfattende analyse av personlige aspekter
  • behandling av personopplysninger som har som mål å ta beslutninger som får betydning for den registrerte

4. Sammenhengen behandlingen utføres i (kontekst)

Hvilken sammenhengen en behandling utføres i, kan ha stor betydning for om de registrertes rettigheter og friheter er ivaretatt. I noen sammenhenger behandles det kun trivielle personopplysninger og det er i hovedsak den registrerte som har kontroll over opplysningene. I andre sammenhenger behandles det sensitive personopplysninger og den registrerte har ingen medbestemmelse i hvilke opplysninger som registreres.

Sammenhenger som tilsier at risikoen kan være høy, er sammenhenger hvor den registrerte har en klar forventning om personvern knyttet til behandlingen av personopplysninger.

Eksempler på slike sammenhenger er:

  • forventning om konfidensialitet (for eksempel helse, velferd og arbeidsforhold)
  • forventning om privatliv (for eksempel i hjemmet og på rekreasjon)
  • behandling av personopplysninger fra ulike datasett og som er innsamlet for ulike formål, for ulike behandlingsansvarlige. Dette kan være uoversiktlig og uforutsigbart for den registrerte.

Etter å ha beskrevet alle disse fire sidene ved en behandling må dere ta stilling til om noen av de iboende risikoelementene blir mindre på grunn av tiltak som er satt i verk for å redusere risikoen.

Artikkel 29-gruppens kriterier for å vurdere behov for DPIA

Artikkel 29-gruppen opererer med følgende ni kriterier for å få oversikt over behandlinger som krever en vurdering av personvernkonsekvenser på grunn av deres iboende høye risiko:

  1. Evaluering eller poengsetting

    Inkludert profilering og forutsigelse, spesielt «aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser» (fortalepunkt 71 og 91).
  2. Automatiske beslutninger med rettslig eller tilsvarende betydelig virkning

    Behandling som har som formål å ta beslutninger om den registrerte som har «rettsvirkning for den fysiske personen» eller «på lignende måte i betydelig grad påvirker den fysiske personen» (artikkel 35 nr. 3 a). 
  3. Systematisk monitorering

    Behandlingsaktiviteter som brukes for å observere, overvåke eller kontrollere de registrerte, inkludert opplysninger som har blitt samlet inn gjennom nettverk eller «en systematisk overvåking i stor skala av et offentlig tilgjengelig område» (artikkel 35 nr. 3 c). 
  4. Særlige kategorier av personopplysninger eller opplysninger av svært personlig karakter 

    Dette omfatter særlige kategorier av personopplysninger (tidligere kalt sensitive personopplysninger) som er definert i artikkel 9 (for eksempel informasjon om enkeltpersoners politiske meninger), samt personopplysninger vedrørende straffedommer og lovovertredelser som definert i artikkel 10. 
  5. Personopplysninger behandles i stor skala 

    Forordningen definerer ikke hva som menes med stor skala, selv om det gis en viss veiledning i fortalepunkt 91. Artikkel 29-gruppen anbefaler at følgende faktorer vurderes spesielt når man avgjør hvorvidt behandlingen gjennomføres i stor skala: 
    a. Antallet registrerte som berøres, enten som et spesifikt antall eller som en andel av den relevante populasjonen. 
    b. Mengden og/eller spennvidden i personopplysningene som behandles. c. Databehandlingens varighet eller regelmessighet.
    d. Behandlingens geografiske omfang.
  6. Matching eller sammenstilling av datasett

    Dette kan for eksempel stamme fra to eller flere databehandlingsoperasjoner som gjennomføres med ulike formål og/eller av ulike behandlingsansvarlige på en måte som overstiger den registrertes rimelige forventninger.
  7. Personopplysninger om sårbare registrerte 

    Behandling av denne typen av personopplysninger er et kriterium på grunn av den skjeve maktbalansen mellom de registrerte og den behandlingsansvarlige, som betyr at enkeltpersoner kan være ute av stand til, på en enkel måte, å gi sitt samtykke eller motsette seg behandlingen av sine personopplysninger eller utøve sine rettigheter. Sårbare registrerte kan omfatte barn (de kan anses å ikke være i stand til på en bevisst og gjennomtenkt måte å motsette seg eller gi samtykke til behandling av sine personopplysninger), arbeidstakere, mer sårbare befolkningsgrupper som behøver sosial beskyttelse (psykisk syke personer, asylsøkere, eldre personer, pasienter og så videre), samt i de situasjoner der det foreligger en ubalanse i forholdet mellom den registrerte og den behandlingsansvarlige.
  8. Innovativ bruk eller anvendelse av ny teknologisk eller organisatorisk løsning

    Dette kan være en kombinasjon av fingeravtrykk og ansiktsgjenkjenning for en forbedret fysisk adgangskontroll og så videre. Det går klart frem av forordningen (artikkel 35 nr. 1 og fortalepunkt 89 og 91) at bruk av ny teknologi som defineres «i samsvar med det oppnådde nivået av teknisk kunnskap» (fortalepunkt 91), kan medføre behov for å gjennomføre en vurdering av personvernkonsekvenser. Grunnen til dette er at anvendelse av ny teknologi kan medføre nye former for innsamling og bruk av personopplysninger, eventuelt med høy risiko for den enkeltes rettigheter og friheter. De personlige og sosiale konsekvensene ved anvendelsen av ny teknologi kan være ukjente. En vurdering av personvernkonsekvenser hjelper den behandlingsansvarlige å forstå og håndtere slike risikoer. For eksempel kan visse «tingenes internett»-applikasjoner få betydelige konsekvenser for den enkeltes dagligliv og privatliv, og kan derfor kreve en vurdering av personvernkonsekvenser.
  9. Når behandlingen «hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale»  (artikkel 22 og fortalepunkt 91)

    Dette omfatter behandlinger som tar sikte på å tillate, endre eller nekte den registrerte tilgang til en tjeneste eller inngå en avtale. For eksempel når en bank kredittvurderer sine kunder mot en database for å avgjøre om de skal tilbys lån.

I de fleste situasjoner kan en behandlingsansvarlig anta at det skal gjøres en vurdering av personvernkonsekvenser dersom to av disse kriteriene er oppfylt. Artikkel 29-gruppen mener generelt at jo flere kriterier behandlingen oppfyller, desto mer sannsynlig er det at det foreligger en høy risiko, og at det derfor er et krav om å gjennomføre en DPIA – uavhengig av hvilke tiltak den behandlingsansvarlige har planer om å iverksette.

Likevel kan en behandlingsansvarlig, i gitte tilfeller, vurdere at en behandling som bare oppfyller ett av disse kriteriene, krever en vurdering av personvernkonsekvenser. Følgende eksempler illustrerer hvordan kriteriene bør anvendes for å vurdere hvorvidt én enkelt behandling krever en vurdering av personvernkonsekvenser:

 

I noen tilfeller vil en behandling svare til de situasjonene som er beskrevet ovenfor i tabellen, men den behandlingsansvarlige kan likevel vurdere at behandlingen sannsynligvis ikke «vil medføre en høy risiko». I slike situasjoner bør den behandlingsansvarlige begrunne og dokumentere hvorfor en vurdering av personvernkonsekvenser ikke gjennomføres, og inkludere/notere personvernombudets synspunkter.

Protokoll over behandlingsaktiviteter

Som en del av prinsippet om ansvarlighet, skal hver behandlingsansvarlig «føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar». Dette inkluderer blant annet formålet med behandlingen, en beskrivelse av kategoriene av personopplysningene og mottakere av personopplysningene og «dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1» (artikkel 30 nr. 1).

Ut fra dette skal den behandlingsansvarlige avgjøre hvorvidt en høy risiko er sannsynlig, også i de tilfellene der konklusjonen er at det ikke skal gjennomføres en vurdering av personvernkonsekvenser.

Hvordan gjennomføre en DPIA?

Det finnes ulike metoder for å gjennomføre en vurdering av personvernkonsekvenser (DPIA), men de har noen felles kriterier.

I forordningen fastsettes noen minimumskriterier for hva en vurdering av personvernkonsekvenser skal inneholde (artikkel 35 nr. 7):

a) En systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen.

b) En vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene.

c) En vurdering av risikoene for de registrertes rettigheter og friheter

d) De planlagte tiltakene for å håndtere risikoene og for å påvise at forordningen overholdes.

I tillegg er ansvarlighet et viktig personvernprinsipp, så til slutt må man bedømme og evaluere, og eventuelt godkjenne. I denne fasen har ledelsen eller styret den viktigste rollen. Arbeidet skal sammenstilles og funn presenteres for ledelsen. 

Figuren under oppsummerer og illustrerer den alminnelige, gjentakende prosessen ved gjennomføring av en vurdering av personvernkonsekvenser:

 Trinnene i DPIA

Adferdsnormer, sertifiseringer og lignende må tas i betraktning

Når personvernkonsekvensene av en behandlingsaktivitet vurderes, må etterlevelse av atferdsnorm (bransjenorm) tas i betraktning (artikkel 35 nr. 8). Dette kan være nyttig for å påvise at man har valgt eller iverksatt tilstrekkelige tiltak, forutsatt at atferdsnormen er hensiktsmessig og relevant for behandlingen. 

Sertifiseringer, segl og merker med den hensikt å påvise at den behandlingsansvarlige og databehandleres behandling er i samsvar med forordningen, og bindende virksomhetsregler, bør også tas i betraktning.

Kravene i forordningen utgjør en allmenn ramme

Alle relevante krav i forordningen utgjør en bred og allmenn ramme for utforming og gjennomføring av en vurdering av personvernkonsekvenser (DPIA). Den praktiske gjennomføringen av en DPIA er avhengig av kravene i forordningen, og kan kompletteres med mer detaljert praktisk veiledning. Derfor er gjennomføringen av vurderingen skalerbar. Dette innebærer at også mindre behandlingsansvarlige kan utforme og gjennomføre en DPIA som er tilpasset deres behandlingsaktiviteter.

Uttrykt i terminologi fra risikostyring tar en DPIA sikte på å «håndtere risikoer» for fysiske personers rettigheter og friheter gjennom å:

  1. Fastslå sammenheng: «i det det tas hensyn til behandlingens art, omfang, formål, sammenhengen den utføres i, og kildene til risikoen»
  2. Vurdere risikoene: «vurdere sannsynligheten for at det vil oppstå høy risiko, samt alvorlighetsgraden av denne»
  3. Håndtere risikoene: «begrense risikoen», «sikre vern av personopplysningene» og «påvise at denne forordning overholdes».

Fleksibilitet for den behandlingsansvarlige

Forordningen gir den behandlingsansvarlige en fleksibilitet til å fastsette nøyaktig struktur og form på vurderingen av personvernkonsekvenser, slik at den passer øvrig arbeidsmetodikk og verktøy. Det finnes et antall ulike etablerte prosesser i EU så vel som globalt som tar hensyn til de komponentene som beskrives i fortalepunkt 90. Likevel skal en vurdering av personvernkonsekvenser – uansett form – være en unik risikovurdering som gjør det mulig for den behandlingsansvarlige å implementere tiltak for å håndtere risikoene.

Anbefaler spesifikke rammeverk

Artikkel 29-gruppen oppmuntrer til utvikling av sektorspesifikke rammeverk for vurderinger av personvernkonsekvenser. Spesifikk bransjekunnskap er nyttig og medfører at vurderingene kan adressere de særegenskaper som foreligger ved en viss type behandling (slik som visse typer av opplysninger, forretningsmessige verdier, mulige konsekvenser, trusler eller målinger). Dette innebærer at en DPIA kan håndtere spørsmål som kommer opp innen bestemte økonomiske sektorer, ved bruk av bestemte teknologier eller ved utførelse av bestemte typer behandlinger.

Offentliggjøring skaper tillit

Det er ikke et rettslig krav å offentliggjøre vurderingen av personvernkonsekvenser. Den behandlingsansvarlige bør likevel som et minimum overveie å offentliggjøre deler av vurderingen da det kan være tillitsskapende. En komplett vurdering av personvernkonsekvenser skal i alle tilfeller formidles Datatilsynet ved forhåndsdrøftelse eller på anmodning fra oss.

Formålet med en slik prosess er å bidra til å skape tillit til den behandlingsansvarliges behandlinger, vise ansvar og gjennomsiktighet. Det er spesielt god praksis å offentliggjøre en vurdering av personvernkonsekvenser om behandlingen når offentligheten som er berørt. Dette kan særlig være tilfelle dersom det er en offentlig myndighet som gjennomfører vurderingen.

Den offentliggjorte vurderingen behøver ikke inneholde hele vurderingen, særlig hvis den kan ha  spesifikk informasjon om sikkerhetsrisikoer hos den behandlingsansvarlige eller kompromittere forretningshemmeligheter eller forretningssensitiv informasjon. I slike tilfeller kan den offentlige versjonen være en oppsummering av de viktigste funnene i vurderingen av personvernkonsekvenser, eller en uttalelse om at en slik vurdering er gjennomført.

Om en DPIA avslører en høy restrisiko, har den behandlingsansvarlige plikt til å be om en forhåndsdrøftelse med Datatilsynet før behandlingen starter (artikkel 36 nr. 1). Som ledd i denne prosessen skal hele vurderingen legges frem for oss (artikkel 36 nr. 3 bokstav e). Vi kan da gi råd om hvordan risikoen kan reduseres. Vi vil ikke avsløre forretningshemmeligheter eller svakheter i sikkerheten.

Forhåndsdrøftelse med Datatilsynet

Det er nødvendig med en forhåndsdrøftelse når virksomheten har gjennomført en vurdering av personvernkonsekvenser og behandlingen fortsatt medfører høy risiko for de registrertes rettigheter og friheter.

En forhåndsdrøftelse er en skriftlig, formalisert prosess, og bestemmelsene står i artikkel 36. Når Datatilsynet har mottatt all nødvendig dokumentasjon, behandler vi saken. Saksbehandlingen følger kravene i forvaltningsloven og offentlighetsloven, og vil i praksis ligne på det som tidligere ble gjort ved behandling av konsesjoner. Det betyr at vi vurderer om den planlagte behandlingen er lovlig og om den ivaretar personvernprinsippene. Vi gir deretter en skriftlig tilbakemelding med råd eller pålegg.

I behandlingen skal vi som et minimum vurdere:

  • om behandlingen skjer i tråd med personvernforordningen
  • om den behandlingsansvarlige i tilstrekkelig grad har identifisert risikoen
  • om risikoen i tilstrekkelig grad er redusert 

Det overordnede målet er å unngå at behandlingen av personopplysninger medfører høy risiko for de registrertes rettigheter og friheter. Det vil både si de registrertes rettigheter etter personvernforordningen, og andre grunnleggende rettigheter slik som retten til privatliv, kommunikasjonsvern, ytringsfrihet, tankefrihet, bevegelsesfrihet, forbud mot diskriminering, retten til frihet og samvittighets- og religionsfrihet.

Når er det aktuelt å be om en forhåndsdrøftelse?

Den behandlingsansvarlige må - i denne rekkefølgen:

  1. Gjennomføre en vurdering av personvernkonsekvenser (DPIA). Dette gir en oversikt over trusler og risiko knyttet til behandlingen som planlegges. Dere må i tillegg sørge for å oppfylle pliktene knyttet til internkontroll.
  2. Iverksette tiltak som reduserer risikoen. Når dette er gjennomført og den høye risikoen for den registrertes rettigheter og friheter er redusert, kan den planlagte behandlingen av personopplysninger starte.
  3. Be om en forhåndsdrøftelse dersom:
    • det er gjennomført en DPIA og man ikke klarer å redusere risiko
    • vurderingen har blitt behandlet i ledergruppen mer enn én gang, risikoen for den registrertes rettigheter og friheter fremdeles er høy og viljen til å gjennomføre fremdeles er stor

(De behandlingene som tidligere ville krevd konsesjon, vil nå mest sannsynlig medføre et krav om vurdering av personvernkonsekvenser. Deretter må det vurderes om forhåndsdrøftelser er nødvendig som skissert over.)

Dersom virksomheten har hovedkontor i et annet land, vil vi vurdere samarbeid med datatilsynsmyndigheten i det aktuelle landet.

Dersom dere ønsker veiledning, innspill eller diskusjon rundt om dere tenker riktig eller gjør nødvendige vurderinger, vil det ikke kvalifisere til en forhåndsdrøftelse. Dere må da be om et veiledningsmøte. 

Har dere spørsmål om forhåndsdrøftelse, kan de sendes til 

Det må imidlertid presiseres at uansett om det er et krav om forhåndsdrøftelse med Datatilsynet på grunn av høy restrisiko eller ikke, så har virksomheten plikt til å dokumentere og oppbevare vurderingen av personvernkonsekvenser, og om nødvendig oppdatere den.

Hvordan be om en forhåndsdrøftelse og hva må dere sende inn?

For at vi skal kunne behandle saken, må dere sende oss følgende:

  1. Navn, telefonnummer og e-postadresse til kontaktperson og personvernombud hos den behandlingsansvarlige, samt til databehandler hvis det er aktuelt
  2. En systematisk beskrivelse av behandlingen med fokus på hva som gir høy risiko
    • behandlingens art, omfang, formål og sammenheng
    • kilder, mottagere, risikovurderinger, informasjonssikkerhet og ansvarsforhold
  3. Vurdering av nødvendighet og proporsjonalitet med fokus på hva som gir høy risiko
    • dokumentasjon av tiltak og garantier som er iverksatt for å ivareta personvernprinsippene, de registrertes rettigheter og de registrertes friheter (for eksempel informasjonstiltak, innsynsløsninger, granulering av samtykke)
  4. Vurdering av risiko for de registrertes rettigheter og friheter med fokus på hva som gir høy risiko
    • dokumentasjon fra gjennomføringen av vurderingen av personvernkonsekvenser i henhold til artikkel 35
    • risikovurdering i forhold til medbestemmelse, åpenhet og forutsigbarhet
    • tiltak for å håndtere risikoen
      • hvilke risikoreduserende tiltak som er gjennomført
      • hvilke risikoreduserende som er vurdert, men ikke gjennomført
      • begrunnelse for hvorfor risikoreduserende tiltak ikke er gjennomført
  5. Dokumentasjon fra ledelsens validering av DPIA
    • Sammenstilling av presentasjon og funn
    • Dokumentasjon av hensynet til interessenter
    • Ledelsens gjennomgang og beslutning

I tillegg bør dere vurdere å legge ved andre relevante forhold slik som for eksempel ledelsens validering av den gjennomførte vurderingen av personvernkonsekvenser og beslutningen om å be om forhåndsdrøftelse.

Sikker sending av konfidensiell informasjon

Siden dette skal være en skriftlig prosess, må en anmodning om forhåndsdrøftelse sendes på e-post eller per brev

Dokumentasjon som skal oversendes kan inneholde krav om konfidensialitet. Kommunikasjon til vår e-postserver støtter TLS. Dersom det er behov for høyere grad av sikkerhet kan PGP-kryptering benyttes. 

Les mer om hvordan du krypterer med OpenPGP. På samme side finner du også vår offentlige nøkkel og fingerprint

Hva resulterer en forhåndsdrøftelse i?

Datatilsynet kan benytte alle virkemidler og sanksjonsmuligheter når vi behandler en forhåndsdrøftelse. En forhåndsdrøftelse kan resultere i at:

  1. Vi ber om ytterligere informasjon utover det dere har sendt inn, for eksempel hvordan opplysningene er tilstrekkelig sikret eller hvordan den ansvarlige har vurdert krav om innebygd personvern og personvern som standardinnstilling.
  2. Vi gir skriftlige råd, og vi kan i den forbindelse bruke myndigheten vår til å gi pålegg, advarsler, irettesettelser, gjøre stedlig tilsyn eller forby behandling.

Eksempler

To behandlinger som krever en vurdering av personvernkonsekvenser der det kan stilles krav om forhåndsdrøftelse:

  1. Langvarige forskningsprosjekter som skal innhente helseopplysninger i stort omfang uten at dette baseres på samtykke

    Vi forventer at den behandlingsansvarlige kan dokumentere sin vurdering av tiltak som reelt sett er egnet til å sørge for at de registrerte får kjennskap til prosjektet, og tiltak som gjør det enkelt å skaffe seg innsyn i hvilke opplysninger som er innhentet fra hvor. Et annet tiltak som også er egnet til å redusere risiko (forutsatt at informasjon og innsyn er ivaretatt) er muligheten til å reservere seg. 

    Dersom virksomheten beslutter å bruke ressurser på tiltak som reelt sett sikrer forutsigbarhet og åpenhet om behandlingen og medbestemmelse for de registrerte, er det ikke nødvendig med forhåndsdrøftelse. 

    Dersom virksomheten beslutter å ikke bruke ressurser på tiltak som nevnt over, og kan presentere en legitim begrunnelse for dette, er det nødvendig å be om en forhåndsdrøftelse med oss.
  2. En tilbyder innen telekommunikasjon planlegger å bruke lokasjonsopplysninger om sine kunder til andre formål enn å oppfylle avtalen eller lovpålagte behandlinger

    Behandlingsgrunnlaget er interesseavveiingen i forordningen (artikkel 6 f). Tilbyderen planlegger å videreselge opplysninger om hvor mange personer som befinner seg på eller ved spesifikke severdigheter og destinasjoner i Norge, på bestemte tidspunkter (for eksempel Gaustatoppen en gitt dag i påskeferien), samt hvilke nasjonaliteter disse personene har.

    Vi forventer i dette tilfellet at den behandlingsansvarlige kan dokumentere vurderingen av tiltak som reelt sett er egnet til å sørge for lagringsbegrensing og dataminimering. For lagringsbegrensing forventes det særskilt at det er tatt stilling til hvor lang tid en anonymiseringsprosess vil ta, og dermed hvor lang tid det er nødvendig å lagre identifiserende opplysninger.

    For dataminimering forventes det at det iverksettes tiltak for å unngå å innhente direkte identifiserende opplysninger, og at grupper under et visst antall mennesker ikke registreres. I tilfeller hvor det er relevant skal også de registrerte enkelt få kjennskap til at tilbyderen selger denne typen opplysninger, enkelt kunne skaffe seg innsyn i hvilke opplysninger som er brukt og hvor de er utlevert, og gis mulighet til å reservere seg mot denne type behandling av personopplysninger.

    Dersom virksomheten beslutter å bruke ressurser på tiltak som reelt sett sikrer forutsigbarhet og åpenhet om behandlingen og medbestemmelse for de registrerte, er det ikke nødvendig med forhåndsdrøftelse.

    Dersom virksomheten beslutter å ikke bruke ressurser på tiltak som nevnt ovenfor, og kan presentere en legitim begrunnelse for dette, er det nødvendig med forhåndsdrøftelse.

 

Eksempler på eksisterende rammeverk i EU

Her finner du noen eksempler på rammeverk og standarder som kan være til inspirasjon når man skal gå i gang med vurdering av personvernkonsekvenser (DPIA).

Forordningen spesifiserer ikke bestemte prosedyrer som skal følges ved vurdering av personvernkonsekvenser, men gir i stedet den behandlingsansvarlige handlingsrom til å innføre et rammeverk som kompletterer egne eksisterende rutiner.

Forutsetningen er at det inneholder de minimumskravene som er omtalt tidligere. Et slikt rammeverk kan være skreddersydd for den behandlingsansvarlige eller være felles for en bransje.

Eksempler på generelle rammeverk innen EU

Eksempel på sektorspesifikt rammeverk

Internasjonal standard

  • Det er utgitt en internasjonal standard for å gi veiledning om de metodene som anvendes ved gjennomføring av en vurdering av personvernkonsekvenser: ISO/IEC 29134 (engelsk)

Annet