N?r m? man gjennomf?re en DPIA?
Du m? gjennomf?re en DPIA n?r en behandling sannsynligvis vil medf?re h?y risiko for personers rettigheter og friheter.?
Med dette sikter man til n?r behandlingen kan f? alvorlige negative konsekvenser for enkeltpersoners grunnleggende rettigheter og friheter, slik som retten til privatliv, ikke ? bli diskriminert, ytringsfrihet og kontroll over egne personopplysninger, og at det er en reell mulighet for at dette kan skje.
DPIAen m? v?re godkjent f?r behandlingenav personopplysninger kan starte.
Med ?rettigheter og friheter? sikter man til de grunnleggende rettigheter, som for eksempel:
- Rett til privatliv
- Rett til ikke ? bli diskriminert
- Ytringsfrihet
- Bevegelsesfrihet
- Rett til kontroll over egne opplysninger
Dersom en behandling av personopplysninger kan medf?re at?
Hva kan v?re "h?y risiko" i praksis?
Her er noen konkrete eksempler:
1. ?konomisk skade
- Identitetstyveri: Hvis uvedkommende f?r tilgang til personopplysninger som navn, f?dselsnummer eller bankkonto og bruker dem til ? svindle.
Hvorfor h?y risiko: Det kan f? direkte ?konomiske konsekvenser og vanskeliggj?re folks dagligliv.
2. Diskriminering eller urettferdig behandling
- Algoritmer som forskjellsbehandler: For eksempel at et system favoriserer visse grupper i jobb- eller l?nes?knader.
- Feilaktige profiler: Hvis feil informasjon brukes til ? kategorisere personer, og det p?virker utdanning, jobb eller forsikring.
Hvorfor h?y risiko: Kan skade personers rett til likebehandling og frihet fra diskriminering.
3. Tap av kontroll over egne data
- Uventet viderebruk av data: Personopplysningene brukes p? m?ter som den opplysningene omhandler ikke forventer
Hvorfor h?y risiko: Personen mister kontroll over hvem som vet hva om dem, og kan bli utsatt for u?nsket innblanding i privatlivet.
4. Belastning for privatliv eller omd?mme
- Eksponering av sensitive opplysninger: Bilder, helsedata, personlige forhold eller andre s?rlig beskyttelsesverdige publiseres offentlig
Hvorfor h?y risiko: Kan f?re til psykisk stress, sosial stigmatisering eller tap av tillit.
5. Overv?king og inngripen i privatlivet
- Overv?king p? arbeidsplass: Overv?king av e-post, PC-bruk, logging av aktiviteter eller bevegelser uten berettiget grunn
- Kameraoverv?king: Kameraoverv?king av bevegelser
Hvorfor h?y risiko: Kan f?re til psykisk stress, endrede handlingsm?nstre, tap av tillit og fungere nedkj?lende p? ytringsrommet. Opplevd stort inngrep i privatlivet.
6. Teknologi og automatisering som kan skade eller fatte beslutninger utenfor menneskelig kontroll
- Automatiserte beslutninger uten menneskelig kontroll: F.eks. AI som avsl?r s?knader eller gir urettferdige anbefalinger.
- Kombinering av datasett: N?r ulike datakilder settes sammen og avsl?rer nye sensitive opplysninger.
Hvorfor h?y risiko: Personer kan bli rammet p? m?ter de ikke har kontroll over eller kan forst?. Opplevd stort inngrep i privatlivet.
Typiske situasjoner hvor en DPIA er n?dvendig:
Hvis ett eller flere av disse gjelder, b?r du vurdere DPIA:
- Behandling av sensitive opplysninger
- Behandling av mange personer
- Systematisk overv?king
- Bruk av ny teknologi (f.eks. AI)
- Automatiserte avgj?relser
- Kombinering av datasett
- S?rbare grupper (barn, ansatte, pasienter)
Hva skal en DPIA inneholde?
Vi har utarbeidet en mal for DPIA som inneholder det man trenger ? vurdere. Denne finner du i bunnen av denne siden.
En DPIA best?r vanligvis av disse delene:
1. Beskrivelse av behandlingen
- Hva slags data samles inn?
- Hvorfor samles de inn?
- Hvordan brukes de?
2. Vurdering av n?dvendighet og forholdsmessighet
- Er det n?dvendig ? samle inn disse opplysningene?
- Finnes det mindre inngripende alternativer?
3. Risikovurdering
- Hva kan g? galt?
- Hvem kan bli ber?rt?
- Hvor alvorlig er konsekvensene?
4. Tiltak for ? redusere risiko
- Kryptering
- Tilgangsstyring
- Dataminimering
- Rutiner og oppl?ring
Hva er forskjellen p? en DPIA og en ROS?
Forskjellen p? en vurdering av personvernkonsekvenser (DPIA) og en risiko- og s?rbarhetsanalyse (ROS) er at en DPIA vurderer risiko for menneskene opplysningene gjelder sine rettigheter og friheter, mens en ROS vurderer typiske informasjonssikkerhetsrisiko (f.eks. uautorisert tilgang til data, tap av data, systemfeil og sikkerhetsbrudd).
Hvordan gjennomf?re en DPIA (steg for steg)
Steg 1: Avklar behovet
- Vurder om behandlingen kan gi h?y risiko
Steg 2: Beskriv behandlingen
- Lag en tydelig og konkret beskrivelse
Steg 3: Identifiser risiko
- Tenk gjennom hva som kan g? galt
Steg 4: Vurder tiltak
- Hvordan kan risiko reduseres?
Steg 5: Dokumenter
- Skriv ned hele vurderingen
Steg 6: Involver relevante personer
- Alle DPIAer skal r?df?res med Personvernombudet
- Kontakt ut?ver av behandleransvaret for bistand til ? gjennomf?re DPIA
- DPIAer for administrative behandlinger skal godkjennes av leder
Steg 7: Vurder om dere m? kontakte tilsynsmyndigheten
- Hvis risikoen fortsatt er h?y etter tiltak, m? dere r?df?re dere med Datatilsynet
Hvorfor gjennomf?re en DPIA?
Man gj?r DPIA for ? oppdage og redusere risiko for skade for de personopplysningene omhandler, sikre lovlig behandling, beskytte enkeltpersoner og forebygge problemer f?r de oppst?r. GDPR krever DPIA n?r behandlingen sannsynligvis medf?rer h?y risiko for personers rettigheter og friheter.
DPIA i forskning?
Ved innmelding av et forskningsprosjekt til Sikt Personverntjenester, vil Sikt bla.a.
- bist? UiO i ? vurdere om behandlingen av personopplysninger i forskningsprosjektet medf?rer en s? h?y risiko for personvernet til de ber?rte, at kravet om DPIA er oppfylt, og
- bist? UiO i ? gjennomf?re en DPIA og finne hvilke tiltak som kan gj?res for ? minimere risikoen for personvern til de ber?rte.
Etter at Sikt har gjennomf?rt en DPIA, vil denne sendes over til personvernombudet p? UiO for r?df?ring. Dersom verken personvernombudet eller ut?ver av behandleransvaret har noen invendinger vil DPIA godkjennes.
Det er UiO, ved ut?ver av behandleransvaret, selv som vurderer og eventuelt stiller seg bak Sikt Personverntjenesters vurdering og godkjenner DPIAene i forskning.