Artikkel

Behandler du dataene dine trygt nok? - Når må du gjennomføre en konsekvensanalyse (DPIA)?

Deloitte Advokatfirma

GDPR stiller krav om at det i noen tilfeller skal gjennomføres en vurdering av personvernkonsekvenser (DPIA) før behandlingen starter, dersom virksomhetens behandling av personopplysninger medfører risiko for personvernet til den registrerte. I denne artikkelen gir vi en kort innføring i hva DPIA er, og når det er påkrevd.

Publisert: 18. mai 2020

Vi mottar stadig henvendelser, både fra offentlige og private aktører, i forbindelse med eksempelvis bruk av digitale plattformer (nettsider, apper o.l.) der personopplysninger behandles. Behandlingsaktiviteten inneholder gjerne en behandling av helsedata. Et aktuelt spørsmål i den forbindelse er om virksomhetene må gjennomføre en såkalt DPIA før tjenesten/produktet lanseres og behandlingen av personopplysninger starter.

I og med at en DPIA-vurdering under visse omstendigheter er påkrevd etter GDPR vil manglende gjennomføring av en DPIA potensielt medføre sanksjoner. Det er derfor viktig at du vurderer nøye hvorvidt en DPIA er nødvendig å gjennomføre i din virksomhet.

Hva er en DPIA («Data Protection Impact Assessment»)?

En DPIA er en vurdering av hvilke konsekvenser data subjektet kan utsettes for ved en feil behandling av sine persondata i en digital løsning initiert av virksomheten. Helt konkret er det slik at GDPR regulerer at en DPIA skal gjennomføres «[d]ersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi (…) vil medføre en høy risiko for fysiske personers rettigheter og friheter». Formålet med en DPIA-vurdering er å sikre at virksomheten ivaretar personvernet til de registrerte i den aktuelle løsningen.

Helt overordnet skal en DPIA-vurdering inneholde en beskrivelse av virksomhetens behandling av personopplysninger. Videre skal den identifisere potensielle risikokilder, implementere tiltak for å adressere risikoen, og på denne måten minimere risikoen for uheldige konsekvenser for personvernet til de registrerte. I og med at en DPIA også innebærer en vurdering av informasjonssikkerheten betyr det at en DPIA bør gjennomføres av ressurser med ulike kompetanse, både det juridiske og det rent tekniske. Eksempler på risikoer kan være risikoen for at utenforstående (eksempelvis samarbeidspartnere) skal få tilgang til personopplysninger, risikoen for tekniske feil i systemet virksomhetene bruker eller risikoen for at ansatte i virksomheten gjør feil. Det ligger i hele formålet at en DPIA-vurdering må gjennomføres før behandlingen starter.

Regelverket stiller ikke formkrav til hvordan en DPIA skal se ut. Virksomheten kan for eksempel bruke et IT-system eller en Excel-protokoll. Det sentrale er at virksomheten skal kunne dokumentere at den har gjennomført en slik vurdering.

Det må skilles mellom en DPIA-vurdering og en tradisjonell risikoanalyse. I en DPIA-vurdering fokuseres det på personvernkonsekvenser for den registrerte, mens det i en tradisjonell risikoanalyse er potensielle risikoer ved virksomheten som er det sentrale.

Når må virksomheten din gjennomføre en DPIA?

Spørsmålet om når virksomheten skal gjennomføre en DPIA vil avhenge av hva slags kategorier av personopplysninger virksomheten behandler, omfanget av behandlingen, og bruken av teknologi.

Behandling av helsedata i kombinasjon med bruk av innovativ teknologi vil for alle praktiske formål kreve en vurdering av personvernkonsekvenser (DPIA). Det kan imidlertid også være nødvendig for andre aktører dersom behandlingen medfører en risiko for personvernet til den registrerte.

GDPR lister opp tre typetilfeller der en DPIA vil være særlig nødvendig:

  • Profileringsaktiviteter: Gjelder aktiviteter som omfatter enhver form for automatisert behandling av personopplysninger. Det relaterer seg særlig til analyse av arbeidsprestasjon, økonomisk situasjon, helse, personlige preferanser eller interesser. Et eksempel på slik bruk kan være automatisert saksbehandling i forvaltningen.
  • Særlige kategorier av personopplysninger i stor skala: Særlige kategorier av personopplysninger er blant annet opplysninger om helse, religion, fagforeningsmedlemskap, filosofisk overbevisning, seksuell legning og lovovertredelser. Medlemslistene til et fagforbund eller journalsystemet til et legekontor er eksempler på sitasjoner der særlige kategorier av personopplysninger behandles i stor skala.
  • Systematisk overvåking av offentlige områder: Et eksempel kan være overvåking av plassen utenfor kontoret.

Se Datatilsynets liste over behandlingsaktiviteter som alltid krever en DPIA

Det er viktig å være klar over at typetilfellene som er listet opp i GDPR og av Datatilsynet, ikke er ment å være uttømmende. Det betyr at en DPIA kan være påkrevd selv om virksomhetens behandlingsaktiviteter ikke er å finne i GDPR eller på tilsynets lister. Virksomheten din må derfor foreta en selvstendig og konkret vurdering av hvorvidt en DPIA er nødvendig.

Selv om en virksomhet vurderer at vilkårene for å gjennomføre en DPIA ikke er oppfylt må virksomheten likevel løpende vurdere risikoen som kan oppstå som følge av dens behandlingsaktiviteter. Det kan f. eks være i de tilfeller hvor man etter hvert tar i bruk ny teknologi slik at risikobildet endrer seg for behandlingsaktiviteten. Vurderingen av personvernkonsekvenser må følges opp jevnlig og er en kontinuerlig prosess for i sikre et høyt beskyttelsesnivå i virksomheten under ulike omstendigheter over tid.

Dersom man er usikker på om behandlingsaktivitetene i virksomheten krever en DPIA, er vår anbefaling at det kan være lurt å gjennomføre vurderingen likevel for å sikre overholdelse av GDPR.
 

Tjenester: Personvern

Var denne siden nyttig?