GDPR – Beskjed
Forskjellige typer evalueringer
Det finnes flere typer vurderinger som selskaper kan måtte gjøre før behandling av personopplysninger i henhold til GDPR. For eksempel konsekvensutredninger eller interesseavveininger.
Forbehandling av konsekvensutredninger
Der enhver behandling av personopplysninger kan medføre høy risiko for de registrertes rettigheter og friheter, skal selskapet gjennomføre en konsekvensanalyse før behandlingen.
Dette følger av artikkel 35 i GDPR. Dersom selskapet ikke foretar en konsekvensutredning der det er nødvendig, kan det føre til konsekvenser, i verste fall bøter.
Formålet med en konsekvensutredning
Formålet med å gjennomføre en konsekvensanalyse er å undersøke lovligheten av behandlingen under GDPR og hvordan selskapet skal forhindre risikoene som behandlingen utgjør for de registrerte.
Hva bør en konsekvensanalyse inneholde?
Beskrivelse
Den skal inneholde en systematisk beskrivelse av behandlingen av personopplysningene. Det samme gjelder formålet med behandlingen.
Andel
Foretaket skal vurdere om behandlingen av personopplysninger står i forhold til formålet med behandlingen.
Risikoer for registrerte
Risikoene som behandlingen kan utgjøre for de registrertes rettigheter og friheter.
Tiltak for å minimere risiko
Hvilke tiltak foretaket har planlagt å treffe for å redusere risikoen mest mulig.
Hvis selskapet har en databeskyttelsesansvarlig
Noen selskaper må utnevne en databeskyttelsesansvarlig. Selskaper som har et personvernombud, skal alltid rådføre seg med personvernombudet når de utfører en konsekvensutredning.
Eksempler på ulike typer konsekvensutredninger selskaper kan ha behov for å gjennomføre
Risikovurdering før nye behandlinger
Bedrifter bør gjennomføre en risikovurdering før oppstart av ny behandling. Det samme gjelder når de introduserer ny teknologi eller systemer i eksisterende behandlinger. Vurderingen skal fastslå hvilke risikoer og konsekvenser behandlingen kan medføre for de registrerte. I tillegg skal analysen og vurderingen omfatte de garantier som skal innføres av selskapet for å minimere risikoen.
Vurdering av personvernkonsekvenser (DPIA)
Dersom behandlingen av personopplysninger innebærer en høy risiko for de registrertes rettigheter og friheter, skal selskapet gjennomføre og dokumentere en vurdering av personvernkonsekvenser (DPIA). I den forbindelse skal foretaket vurdere risikoer og sikkerhetstiltak for å redusere risikoen ved behandlingen mest mulig. Det er spesielt viktig å gjennomføre en vurdering av personvernkonsekvenser når selskapet skal bruke ny teknologi eller behandle sensitive eller andre personvernsensitive personopplysninger i stor skala.
Konsekvensanalyse av dataoverføringer (DTIA)
Når et EU-selskap overfører personopplysninger til et land utenfor EU/EØS, dvs. et tredjeland i henhold til GDPR, gjelder strengere regler. Hvis det aktuelle tredjelandet har et tilstrekkelig beskyttelsesnivå som bestemt av EU-kommisjonen, trenger ikke selskapet å innføre ytterligere garantier for overføring av data. På den annen side, hvis tredjelandet ikke har et tilstrekkelig beskyttelsesnivå i henhold til EU-kommisjonen, må selskapet ta ytterligere garantier. Dette inkluderer å gjennomføre en konsekvensanalyse av dataoverføringer hvis selskapet har til hensikt å bruke en skytjeneste for datalagring fra en skytjenesteleverandør i et tredjeland.
Be om forhåndskonsultasjon med den nasjonale personvernmyndigheten
Dersom risikoen for enkeltpersoners rettigheter og friheter fortsatt er høy etter at selskapet har gjennomført en konsekvensanalyse, bør selskapet be om forhåndskonsultasjon med den nasjonale personvernmyndigheten. Som følge av dette kan DPA beslutte at behandlingen er godkjent, hvilke deler av behandlingen som bør endres for at den skal kunne godkjennes eller forbys. Vær oppmerksom på at selskaper må gjennomføre og dokumentere en fullstendig konsekvensanalyse før de ber om en forhåndskonsultasjon i henhold til artikkel 36 GDPR.
Balansering av interesser for å vurdere legitim interesse
Berettiget interesse er et av de seks (6) rettslige grunnlagene som selskaper kan støtte behandling på, i henhold til artikkel 6 (1) (f) GDPR. For å avgjøre om foretaket har en berettiget interesse eller ikke, må foretaket gjennomføre og dokumentere en interesseavveining. Dette betyr at selskapet forsvarer sin interesse mot de registrertes interesser eller grunnleggende rettigheter og friheter. Myndighetene kan ikke bruke legitim interesse som rettslig grunnlag.
Når kan selskaper ha en berettiget interesse i behandlingen av personopplysninger?
Her er noen eksempler på når et selskap kan ha en legitim interesse i å behandle personopplysninger:
Direkte markedsføring
Et selskap kan ha en legitim interesse i å sende annonser via e-post til tidligere kunder. På den annen side er det vanligvis ingen legitim interesse for å sende reklame via e-post til «kalde kunder». I slike tilfeller er samtykke mer hensiktsmessig å bruke. Behandling av personopplysninger med henblikk på direkte markedsføring kan anses som en berettiget interesse i henhold til artikkel 47 i GDPR.
Deling av data innenfor gruppen
Selskaper i samme konsern kan ha en berettiget interesse av å dele personopplysninger innenfor konsernet for interne administrative formål. For eksempel for behandling av personopplysninger om ansatte eller kunder. Dette fremgår av artikkel 48 i GDPR.
Forstyrrelse av kriminelle aktiviteter
Et selskap kan ha en legitim interesse i å behandle personopplysninger for å forhindre forbrytelser som svindel. Vær oppmerksom på at den aktuelle behandlingen må være strengt nødvendig for dette formålet.
Sikkerhet for ansatte
Det kan være en berettiget interesse i å ivareta sikkerheten for foretakets ansatte.
Mer informasjon om GDPR
Informasjonssikkerhet
Bedrifter skal beskytte personopplysningene som behandles ved å implementere hensiktsmessige organisatoriske og tekniske sikkerhetstiltak. For eksempel å ha backupfiler på en skytjeneste, installert antivirusprogramvare, tilby GDPR-opplæring til ansatte, etablere nødvendige GDPR-relaterte kontrakter og dokumenter, etc. Utgangspunktet er at jo viktigere personopplysningene er, desto strengere er kravene.