Vurdering av personvernkonsekvenser (DPIA)

Når må man gjennomføre en vurdering av personvernkonsekvenser?

I dette kapittelet sier vi litt overordnet om i hvilke tilfeller en vurdering av personvernkonsekvenser (DPIA) skal gjennomføres. I de neste kapitlene vil vi utdype dette nærmere. Vi vil blant annet også si litt om når den eventuelt bør gjennomføres og hvem som har ansvaret, samt situasjoner der det ikke er nødvendig å gjennomføre en DPIA.

I tillegg står det at Datatilsynet har plikt til å utarbeide og offentliggjøre en liste over behandlingsaktiviteter som krever vurdering av personvernkonsekvenser. Aktivitetene på denne lista krever alltid en vurdering av personvernkonsekvenser fordi det etter Datatilsynets vurdering er sannsynlig at de vil medføre høy risiko for fysiske personers rettigheter og friheter.

Når den behandlingsansvarlige skal vurdere om en vurdering av personvernkonsekvenser er påkrevd, bør de gjøre følgende:

  1. Sjekk om den aktuelle behandlingen står på Datatilsynets liste over behandlingsaktiviteter som alltid krever vurdering.
  2. Hvis ikke, gjennomfør en vurdering av om behandlingen vil medføre høy risiko for fysiske personers rettigheter og friheter.

Der en DPIA har blitt gjennomført og risikoen endrer seg underveis, må den behandlingsansvarlige vurdere om behandlingen fremdeles er i tråd med vurderingen som har blitt gjennomført.

Når må man gjennomføre en DPIA?

Forordningen gir dessuten noen eksempler på når en behandling sannsynligvis vil medføre en høy risiko.

Dette er ikke ment å være en uttømmende liste med eksempler. Det kan foreligge høy risiko ved andre behandlinger som ikke omfattes av denne listen. For disse skal det også gjennomføres en vurdering av personvernkonsekvenser. Dette kommer vi nærmere tilbake til i de neste kapitlene.

I de tilfellene der det er usikkert om det er nødvendig å gjennomføre en vurdering av personvernkonsekvenser eller ikke, anbefaler vi at det gjøres fordi det er et nyttig verktøy for å sikre at personvernforordningen følges.

Datatilsynets liste over behandlingsaktiviteter som alltid krever at det gjennomføres en DPIA

  • Personopplysninger samlet inn via en tredjepart i følge med minst ett annet kriterium *.
    • For eksempel innsamling og sammenstilling av personopplysninger fra tredjeparter for å avgjøre om den registrerte skal få tilbud om, fortsette å motta, eller nektes et produkt, en tjeneste eller et tilbud. (Sårbare registrerte og evaluering/poengsetting)
  • Behandling av biometriske opplysninger for å identifisere enkeltpersoner i følge med minst ett annet kriterium *.
    • For eksempel behandling av biometriske opplysninger for å identifisere enkeltpersoner i stor skala. (Særlige kategorier av opplysninger eller svært personlige opplysninger og stor skala.)
  • Behandling av genetiske opplysninger i følge med minst ett annet kriterium *.
    • For eksempel behandling av genetiske opplysninger i stor skala, inkludert gensekvensering. (Særlige kategorier eller svært personlige opplysninger og stor skala.)
  • Behandling av personopplysninger med innovativ teknologi i følge med minst ett annet kriterium *.
    • For eksempel behandling av helseopplysninger med innovativ velferdsteknologi som helseimplantater. (Innovativ bruk og særlige kategorier av opplysninger.)
  • Behandling av personopplysninger for systematisk monitorering av ansatte.
    • For eksempel overvåking av ansattes internettaktivitet, elektroniske kommunikasjon og kameraovervåking. (Sårbare registrerte og systematisk monitorering.)
  • Behandling av personopplysninger, uten samtykke, for vitenskapelige eller historiske formål i følge med minst ett annet kriterium *.
    • For eksempel behandling av helseopplysninger for forskningsformål uten den registrertes samtykke. (Evaluering og særlige kategorier av opplysninger eller svært personlige opplysninger.)
  • Behandling av lokasjonsdata i følge med minst ett annet kriterium *.
    • For eksempel systematisk sammenstilling av den registrertes lokasjons- og trafikkdata fra teleoperatører eller behandling av personopplysninger om abonnentens bruk av telenettet eller teleoperatørens tjenester. (Svært personlige opplysninger og systematisk monitorering.)
  • Behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager.
    Dette inkluderer alle utdanningsnivåer, fra barne- og ungdomsskole, videregående skoler og høyere utdanning. (Sårbare registrerte og systematisk monitorering.)
  • Systematisk monitorering, inkludert kameraovervåking, på offentlig tilgjengelige områder i stor skala. (Systematisk monitorering og stor skala.)
  • Kameraovervåking i skoler og barnehager i åpningstider. (Systematisk monitorering og sårbare registrerte)
  • Behandling av særlige kategorier av personopplysninger eller svært personlige opplysninger i stor skala for algoritmetrening.
  • Behandling av personopplysninger ved å systematisk monitorere effektivitet, ferdigheter, kunnskap, mental helse og utvikling. (Svært personlige opplysninger og systematisk monitorering).
  • Behandling av personopplysninger der formålet er å tilby en tjeneste eller utvikle produkter for kommersiell bruk som involverer å forutsi jobbprestasjoner, økonomi, helse, personlige preferanser eller interesser, pålitelighet, adferd, lokasjon eller bevegelsesmønster. (Særlige kategorier av personopplysninger eller svært personlige opplysninger og evaluering/poengsetting).
  • Innsamling av personopplysninger i stor skala gjennom «tingenes internett» eller velferdsteknologi. (Stor skala og særlige kategorier av opplysninger eller svært personlige opplysninger.)

* Les mer i avsnittet «Artikkel 29-gruppens kriterier for å vurdere behov for DPIA». 

Denne listen er godkjent av Det europeiske personvernrådet. (For mer informasjon om kriteriene det refereres til i denne listen, se kapittelet "Når er det høy risiko?" i DPIA-veilederen.)

Når kreves det ikke en vurdering av personvernkonsekvenser (DPIA)?

Her er en oversikt over noen situasjoner der det anses at det ikke kreves en vurdering av personvernkonsekvenser:

  • Dersom behandlingen sannsynligvis ikke «vil medføre en høy risiko».
  • Dersom behandlingens art, omfang, sammenheng og formål er veldig lik en behandling det allerede er gjennomført en vurdering av personvernkonsekvenser for. I slike situasjoner kan resultatet fra den foreliggende vurderingen for lignende behandlinger brukes.
  • Dersom behandlingen er kontrollert av en tilsynsmyndighet før mai 2018 på særskilte betingelser, og at disse ikke har endret seg. (I Norge vil en slik kontroll vanligvis bety at man har hatt konsesjon).
  • Dersom en behandling er i samsvar med artikkel 6 nr. 1 bokstav c eller bokstav e og har et rettsgrunnlag etter EU-retten eller nasjonal lovgiving, der tilhørende lovgivning regulerer den spesifikke behandlingen og en vurdering av personvernkonsekvenser allerede er gjennomført som ledd i utarbeidelse av rettsgrunnlaget (artikkel 35 nr. 10), unntatt hvis medlemsstaten har bestemt at det er nødvendig å gjennomføre en vurdering av personvernkonsekvenser forut for behandlingen.

Merk at Justisdepartementet har skrevet følgende i proposisjon 56 LS(2017-2018), kapittel 16.5.5:

«Etter departementets vurdering er unntaket fra plikten til vurdering av personvernkonsekvenser i forordningen artikkel 35 nr. 10 så snevert at det ikke synes nødvendig på nåværende tidspunkt å fastsette noen nasjonale unntak fra unntaket. Unntaket kommer bare til anvendelse når det supplerende rettsgrunnlaget for behandlingen inneholder en spesifikk regulering av de ulike behandlingsaktivitetene, noe som sjelden er tilfelle. Hvis behandlingsaktivitetene først er spesifikt regulert i lov eller forskrift, og personvernkonsekvensene allerede er vurdert i den forbindelse, kan departementet ikke se at en vurdering av personvernkonsekvenser vil ha en så stor tilleggsverdi at det er nødvendig å pålegge dette også i disse tilfellene.

At unntaket fører til grensedragningsspørsmål, er etter departementets oppfatning ikke et tilstrekkelig tungtveiende hensyn til at det er nødvendig å pålegge en plikt til vurdering av personvernkonsekvenser. Risikoen for misforståelser av rekkevidden av unntaket kan reduseres med informasjon og veiledning. Departementet foreslår ingen utvidet plikt til forhåndsdrøfting med tilsynsmyndigheten etter artikkel 36 nr. 5. Det foreslås imidlertid en forskriftshjemmel som åpner for slike bestemmelser, se lovforslaget § 14.»

En DPIA skal gjennomføres før behandlingen starter

En eventuell vurdering av personvernkonsekvenser skal gjennomføres før behandlingen settes igang. Dette er i samsvar med prinsippene om innebygd personvern og personvern som standardinnstilling (artikkel 25 og fortalepunkt 78). Vurderingen skal være et verktøy til bruk i beslutningsprosesser som gjelder behandlingen.

En vurdering av personvernkonsekvenser bør starte så tidlig som mulig i utformingen av behandlingsprosessen, selv om enkelte elementer i behandlingsprosessen fremdeles er ukjente. En oppdatering av vurderingen under prosjektets livssyklus vil sikre personopplysningsvern og personvern, og vil bidra til at det utvikles løsninger som fremmer regeletterlevelse. Det kan også være nødvendig å gjenta enkelte steg i vurderingen underveis i utviklingsprosessen, siden valg av visse tekniske eller organisatoriske tiltak kan påvirke alvorlighetsgraden eller sannsynligheten for at det oppstår ny risiko knyttet til behandlingen. Vurderingen av personvernkonsekvenser skal være en kontinuerlig prosess, spesielt når behandlingen er dynamisk og endres løpende.

Det er viktig å huske at å gjennomføre en DPIA ikke reparerer en ulovlig behandling av personopplysninger. Vær derfor oppmerksom på at den behandling som man vurderer om skal gjennom en DPIA-prosess, som et utgangspunkt også skal oppfylle alle grunnkravene som følger av forordningens øvrige bestemmelser.

Behandlingsansvarlig har ansvaret

Det er den behandlingsansvarlige som er ansvarlig for å sikre at vurdering av personvernkonsekvenser gjennomføres (artikkel 35 nr. 2). Vurderingen kan gjennomføres av noen andre, innenfor eller utenfor virksomheten, men det er den behandlingsansvarlige som har det øverste ansvaret for denne oppgaven.

I artikkel 24 nr. 1 fastsettes den behandlingsansvarliges grunnleggende ansvar for etterlevelse av forordningen: «Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.»

I tillegg må relevante personer kobles på prosessen:

  1. Den behandlingsansvarlige må rådføre seg med personvernombudet dersom det er utpekt. Personvernombudets råd sammen med beslutningene den behandlingsansvarlige tar, bør dokumenteres i vurderingen. Personvernombudet skal også kontrollere gjennomføringen av en DPIA (artikkel 39 nr. 1 bokstav c). 
  2. Dersom behandlingen helt eller delvis gjennomføres av en databehandler, bør databehandleren bistå den behandlingsansvarlige i gjennomføringen av en DPIA og fremlegge all nødvendig informasjon (i henhold til artikkel 28 nr. 3 bokstav f). Databehandlerens roller og ansvar skal nedfelles i en avtale. I avtalen bør det også stå at databehandleren blant annet skal bistå i vurderingen av personvernkonsekvenser. 
  3. Den behandlingsansvarlige skal videre «dersom det er relevant, innhente synspunkter på den planlagte behandlingen fra de registrerte eller deres representanter» (artikkel 35 nr. 9). Dette er noe Datatilsynet anbefaler fordi det kan bidra til å forutse og besvare de registrertes eventuelle innvendinger og bekymringer. Dette kan igjen kan bidra til å se de registrertes perspektiv og øke deres tillit til virksomheten og dens behandlinger. 

i) Disse synspunktene kan innhentes på ulike måter, avhengig av sammenhengen (for eksempel en generell studie relatert til behandlingsaktivitetens formål og hensikt, et spørsmål til medarbeiderrepresentanter eller vanlige spørreskjema som sendes til den behandlingsansvarliges framtidige kunder), for å sikre at den behandlingsansvarlige har rettslig grunnlag for behandling av personopplysninger som fremkommer ved innhenting av slike synspunkter. Husk at et samtykke til behandling ikke regnes som en tilbakemelding fra de registrerte.

ii) Om den behandlingsansvarliges endelige beslutninger skiller seg fra de registrertes synspunkter, skal begrunnelsene den behandlingsansvarlige har for å fortsette eller ikke, dokumenteres.

iii) Den behandlingsansvarlige skal også dokumentere begrunnelsen for ikke å innhente synspunkter fra de registrerte, om han eller hun bestemmer at det ikke er hensiktsmessig. For eksempel om dette kan avsløre forretningssensitiv informasjon, eller vil være uforholdsmessig eller umulig.

Det er også god praksis å definere og dokumentere andre spesifikke roller og ansvarsområder, avhengig av interne strategier, prosesser og regler, for eksempel følgende:

  • Når spesifikke avdelinger i virksomheten kan foreslå at det gjennomføres en vurdering av personvernkonsekvenser, bør disse bidra med informasjon til vurderingen og være involvert i evalueringsprosessen.
  • Når det er aktuelt, anbefales det å innhente synspunkter fra uavhengige eksperter fra ulike yrkesgrupper (jurister, IT-eksperter, sikkerhetseksperter, sosiologer, etikkspesialister og så videre). 
  • Den ansvarlige for informasjonssikkerheten, hvis en slik er utpekt, og personvernombudet, kan foreslå at den behandlingsansvarlige skal gjennomføre en vurdering av personvernkonsekvenser for en bestemt behandling. De bør også hjelpe berørte aktører med metodikk, samt hjelpe til å evaluere kvaliteten på risikovurderingen og hvorvidt restrisikoen er akseptabel. I tillegg bør de utvikle kunnskap som er spesifikk for den behandlingsansvarliges situasjon. 
  • Den ansvarlige for informasjonssikkerheten, hvis en slik er utpekt, og/eller IT-avdelingen, bør bistå den behandlingsansvarlige. Den eller de kan foreslå at en vurdering av personvernkonsekvenser skal gjennomføres for en bestemt behandling, avhengig av sikkerhetsbehov eller operative behov.

Hva kan en vurdering av personvernkonsekvenser omfatte?

Kan benyttes til en eller flere behandlinger eller prosjekter

En vurdering av personvernkonsekvenser kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer (artikkel 35 nr. 1).

I tillegg står det i fortalen punkt 92 at «I noen tilfeller kan det være rimelig og økonomisk å utvide vurderingen av personvernkonsekvenser til å omfatte mer enn ett prosjekt, f.eks. dersom offentlige myndigheter eller organer har planer om å innføre en felles applikasjon eller behandlingsplattform, eller dersom flere behandlingsansvarlige planlegger å innføre en felles applikasjon eller et felles behandlingsmiljø på tvers av en industrisektor eller -segment eller for en horisontal aktivitet som er i utstrakt bruk».

Kan gjenbrukes til lignende behandlinger

En enkelt vurdering av personvernkonsekvenser kan brukes for å vurdere flere behandlinger som ligner på hverandre med hensyn til art, omfang, sammenheng, formål og risiko. Formålet med en slik vurdering er å sikre en systematisk undersøkelse av nye situasjoner som kan medføre høy risiko for fysiske personers rettigheter og friheter.

Det er ikke nødvendig å utføre en vurdering av personvernkonsekvenser i situasjoner (det vil si behandlinger som utføres i en spesifikk sammenheng og for et spesifikt formål) som allerede har vært undersøkt. Dette kan være tilfelle når samme type teknologi benyttes til å samle inn samme type opplysninger til samme formål.

Eksempler

  • En gruppe kommunale myndigheter som hver for seg innfører et lignende kameraovervåkingssystem, kan utføre én enkelt vurdering av personvernkonsekvenser.
  • Et jernbaneselskap (én enkelt behandlingsansvarlig) som gjennomfører én vurdering av personvernkonsekvenser for kameraovervåking på samtlige togstasjoner.

På samme måte kan denne fremgangsmåten benyttes når lignende behandlinger gjennomføres av ulike behandlingsansvarlige. I disse tilfellene bør en referansevurdering deles eller gjøres offentlig tilgjengelig. Tiltakene som beskrives i vurderingen, skal gjennomføres/implementeres og det skal begrunnes hvorfor kun én enkelt vurdering er gjennomført.

Dersom behandlingen omfatter flere behandlingsansvarlige med felles behandlingsansvar, skal deres respektive plikter defineres spesifikt. Vurderingen av personvernkonsekvenser skal vise hvilken av de behandlingsansvarlige som er ansvarlig for de ulike tiltakene som er utformet. Hver behandlingsansvarlig bør legge frem sine behov og dele nyttig informasjon uten å videreformidle konfidensielle opplysninger (slik som forretningshemmeligheter og immaterielle rettigheter) eller avsløre sårbarheter.

Kan benyttes på tekniske produkter

Det kan også være nyttig å vurdere personvernkonsekvenser i forbindelse med utvikling/bruk av et teknisk produkt. Dette kan for eksempel være maskinvare eller programvare, som sannsynligvis kommer til å benyttes av ulike behandlingsansvarlige for ulike behandlinger. Den behandlingsansvarlige som benytter produktet, må naturligvis fremdeles utføre sin egen vurdering av personvernkonsekvenser med hensyn til den konkrete behandlingen. Denne kan imidlertid understøttes av leverandørens vurdering av personvernkonsekvenser dersom det er relevant.

Eksempel

Et eksempel på dette er forholdet mellom en produsent av intelligente målere og energileverandører. Den enkelte tilbyder av produktet eller databehandleren bør utveksle nyttig informasjon uten å videreformidle forretningshemmeligheter eller skape sikkerhetsrisiko ved å avsløre sårbarheter.

Må man vurdere personvernkonsekvenser for behandlingsaktiviteter som allerede er satt i gang?

Det er ikke et krav å vurdere personvernkonsekvensene for behandlinger som tidligere har blitt kontrollert av Datatilsynet eller personvernombudet, og som ikke har endret seg siden forrige kontroll.

«Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndigheter på grunnlag av direktiv 95/46/EF, skal fortsette å gjelde fram til de endres, erstattes eller oppheves.» (Forordningens fortale punkt 171)

Det innebærer at en behandling av personopplysninger som gjennomføres på en måte (omfang, formål, innsamlede personopplysninger, behandlingsansvarliges eller mottakernes identitet, lagringstid, tekniske og organisatoriske tiltak og så videre) som har endret seg siden den forutgående kontrollen ble gjennomført av tilsynsmyndigheten eller personvernombudet, og som sannsynligvis vil medføre en høy risiko, bør gjennomgå en vurdering av personvernkonsekvenser.

Endringer i risiko?

Det kan også kreves en vurdering av personvernkonsekvenser (DPIA) dersom det har skjedd endringer i risikoene som oppstår gjennom behandlingen. Det kan for eksempel være ved at ny teknologi har blitt tatt i bruk eller ved at personopplysninger brukes til et annet formål. Behandlingsaktiviteter kan utvikle seg raskt og nye sårbarheter kan oppstå. En revisjon av en DPIA fremmer ikke bare kontinuerlige forbedringer, men er også viktig for å opprettholde et høyt beskyttelsesnivå i et miljø som endrer seg over tid.

Motsatt kan visse endringer også minske risikoen. For eksempel kan en behandling utvikles slik at beslutninger ikke lenger er automatisert eller at en overvåkingsaktivitet ikke lenger er systematisk. I så fall kan en gjennomført risikoanalyse vise at det ikke lenger er behov for vurdering av personvernkonsekvenser.

Endringer i organisatoriske eller sosiale sammenhenger?

En vurdering av personvernkonsekvenser kan også bli nødvendig på grunn av endringer i behandlingens organisatoriske eller sosiale sammenheng. For eksempel ved at effektene av visse automatiske beslutninger får økt betydning eller ved at nye kategorier av registrerte blir sårbare for forskjellsbehandling. Hvert av disse eksemplene kan være et element som medfører endring i risikoen som oppstår ved den aktuelle behandlingen og krever derfor en ny vurdering av personvernkonsekvenser. 

Veileder navigasjon

2. Når må man gjennomføre en vurdering av personvernkonsekvenser?