Artikkel 35 (3) GDPR
Vurdering av personvernkonsekvenser (DPIA)
Selskapene skal gjennomføre en personvernkonsekvensanalyse (DPIA) der det er høy risiko for de registrertes rettigheter og friheter ved behandling av deres personopplysninger.
En vurdering av personvernkonsekvenser er obligatorisk i noen tilfeller
I noen tilfeller er det obligatorisk for bedrifter å etablere en personvernkonsekvensanalyse (DPIA). Disse tilfellene er angitt i artikkel 35 (3) i GDPR.
For eksempel når et selskap utfører en storskala behandling av sensitive personopplysninger. Det samme gjelder automatiserte beslutningsprosesser som inkluderer profilering, eller systematisk overvåking av et offentlig rom i stor skala.
Hvilket innhold bør en DPIA inneholde?
Behandling av
Konsekvensutredningen skal inneholde en beskrivelse av behandlingen av personopplysningene. For eksempel kategoriene av personopplysninger som sensitive eller andre personvernsensitive personopplysninger, omfanget av behandlingen, livssyklusen til personopplysningene (fra innsamling til tynning), etc.
Formål og rettslig grunnlag
Bedrifter må alltid ha et formål for behandlingen som må være klart og spesifikt, samt et gjeldende rettslig grunnlag. Konsekvensutredningen bør inneholde opplysninger om formål og rettslig grunnlag. I tillegg er det nyttig å analysere om formålet er forholdsmessig.
Risikoanalyser
Konsekvensutredningen skal omfatte en risikoanalyse fra de registrertes perspektiv. Med andre ord, hva konsekvensene av et mulig brudd på personopplysningssikkerheten kan være for de registrerte. Vær oppmerksom på at det skal omfatte både sannsynligheten for at hendelser inntreffer og alvorlighetsgraden av konsekvensene.
Sikringsinnretninger
Bedrifter må ta tilstrekkelige sikkerhetstiltak, både tekniske og organisatoriske. For å minimere risikoene ved den behandlingen som konsekvensanalysen gjelder, skal foretaket derfor treffe egnede sikkerhetstiltak, og de bør tas med i konsekvensanalysen.
Restrisiko
Foretaket skal analysere gjenværende risiko etter de sikkerhetstiltak som foretaket har truffet.
Dokumentasjon
Vær oppmerksom på å utføre en skriftlig konsekvensvurdering, i stedet for mental eller muntlig. GDPR krever at selskaper skal kunne demonstrere overholdelse av GDPR i praksis, etter ansvarlighetsprinsippet fastsatt i artikkel 5 (2) i GDPR. Dette betyr blant annet at selskapet må føre skriftlige registreringer av sitt GDPR-arbeid.
Oppfølging
Ettersom GDPR er en levende prosess, er det ikke alltid nok å bare utarbeide dokumenter, men det kan være nødvendig å oppdatere og følge opp. Det er nyttig å analysere behandlingen som omfattes av konsekvensutredningen regelmessig, for eksempel én gang i året, for å se om risikoen har endret seg.
Dersom risikoen fortsatt er høy, skal foretaket anmode om forhåndskonsultasjon
Dersom risikoen for de registrertes rettigheter og friheter fortsatt er høy etter en konsekvensanalyse foretatt av selskapet, skal selskapet anmode om forhåndskonsultasjon med den nasjonale personvernmyndigheten.
Ansattes rolle i gjennomføringen av en vurdering av personvernkonsekvenser
Det er ikke bare advokaten og/eller DPO som skal gjennomføre konsekvensutredningen. Det er nyttig å også inkludere noen andre ansatte i selskapet. For eksempel ansatte fra IT-avdelingen som kan beskrive og forklare systemene, og en leder som beskriver arbeidsprosessene og formålet. Å ha en klar fordeling av roller og god informasjon fra alle relevante ansatte er mer sannsynlig å basere tiltakene på et godt grunnlag.
Utføre eller oppdatere en vurdering av personvernkonsekvenser på nytt
I noen tilfeller må selskapet utføre eller oppdatere konsekvensutredningen på nytt. Foretak er pålagt å analysere risikoen ved behandling når det skjer endringer. For eksempel, når selskapet begynner å bruke nye teknologiske løsninger, utvider målgruppen, ny praksis eller lovgivning i feltet, etc.
Ikke glem å konsultere databeskyttelsesansvarlig
Hvis selskapet har en databeskyttelsesansvarlig (DPO), som enkelte selskaper er pålagt å ha i henhold til GDPR, bør DPO konsulteres når selskapet utfører en konsekvensanalyse. Dette kravet er fastsatt i artikkel 35 nr. 2 i GDPR.
Mer informasjon
Konsekvensanalyse av dataoverføringer
Selskaper skal gjennomføre en konsekvensanalyse av dataoverføringer (DTIA) før overføring av personopplysninger til et tredjeland uten et tilstrekkelig beskyttelsesnivå. Et tredjeland er et land utenfor EU / EØS, og bare EU-kommisjonen kan bestemme at et tredjeland sikrer et tilstrekkelig beskyttelsesnivå. I tillegg må selskapene gjennomføre en konsekvensanalyse av dataoverføringer dersom det skjer en indirekte overføring. For eksempel, hvis selskapet bruker en cloud computing-tjeneste for å behandle personopplysninger, som igjen opererer utenfor EU / EØS.