Hver gang du behandler personopplysninger – manuelt eller i et system – kan behandlingen medføre ulike grader av risiko. Derfor er det smart å ha på plass  rutiner i tråd med GDPR for å kunne vurdere all behandling av personopplysninger i virksomheten. 

Dette kan høres komplisert ut, men med en metode for arbeidet og intern forankring underveis, behøver ikke selve gjennomføringen være vanskelig. Første steg er en risikovurdering:

• Hvilken risiko kan behandlingen innebære for den registrerte?
• Er det noe dere gjør med personopplysninger som kan innebære en høy risiko?

Hvis svaret er ja, må du, i samsvar med artikkel 35, utføre en vurdering av personvernkonsekvensene. Det engelske begrepet DPIA (Data Protection Impact Assessment) brukes ofte litt vilkårlig. Formålet med DPIA-kravet etter artikkel 35 er å forebygge risiko ved å vurdere og dokumentere behandlingsaktivitetene i virksomheten.

Last ned faktaark

En vurdering av personvernkonsekvenser kan være nødvendig om virksomheten din utvikler nye tjenester, planlegger å behandle personopplysninger for nye formål eller benytter ny teknologi. Det samme gjelder pågående behandlinger; du må gjennomgå personvernet til din virksomhet med jevne mellomrom for å kunne vurdere aktuelle risikoer. 

For eksempel er risikoen høyere hvis behandlingen: 

• Er en del av en automatisert behandling som kan få konsekvenser for en fysisk person
• Inneholder sensitive personopplysninger  (kalt “særlige kategorier av personopplysninger” i loven); informasjon om blant annet helse, religion eller etnisitet
• Innebærer gjentatt og omfattende overvåkning av et offentlig sted, eksempelvis utenfor en butikk eller en virksomhet

Synes du det er utfordrende å komme i gang? Vi har laget en gratis guide som beskriver innholdet i art. 35 i GDPR og som videre forklarer den påfølgende prosessen; fra risikovurdering til avsluttende dokumentasjon. Last ned faktaarket på DPIA.

Datatilsynet understreker at alle organisasjoner må ha en rutine for å kunne gjennomføre en DPIA. Dette er et fortløpende arbeid. Ved å implementere konsekvensvurderingen inn i virksomhetens rutiner, vil du oppleve arbeidet både tidsbesparende og kostnadseffektivt. 

I henhold til artikkel 35 (7) må en vurdering av personvernkonsekvenser minimum beskrive:

• Hvordan personopplysningene behandles og hvorfor
• Virksomhetens behov og hvorfor disse behovene oppleves som rimelige
• Hvilke risikoer som kan være aktuelle
• En tiltaksplan for hvordan risikoen skal håndteres 

Hvis du skulle bli påvirket av et avvik eller få tilsyn av myndighetene, er dokumentasjon viktig. Sammen med protokollen kan denne dokumentasjonen vise deres interne resonnement rundt mulige risikoer tilknyttet din behandling.

Prøv E-læring

Utvid din kunnskap om risikovurderinger med vårt e-læringskurs "Vurdering av personvernkonsekvenser". Kurset lærer deg alt du behøver å vite fra risikovurdering og interne rutiner, til den endelige vurderingen av personvernkonsekvenser og dokumentasjonen av arbeidet. 

Du vil blant annet bli kjent med: 

• Hva betyr en risikovurdering?
• I hvilke tilfeller er det nødvendig med en vurdering av personvernkonsekvenser?
• Hvordan skal du dokumentere arbeidet riktig? 

Slik fungerer E-læring

Smidig vurdering med Privacy DPIA

Privacy DPIA er designet i nært samarbeid med våre personverneksperter. Verktøyet hjelper deg med å avgjøre om organisasjonen behøver å gjennomføre en vurdering av personvernkonsekvenser (DPIA) gjennom en såkalt forhåndsvurdering. Videre bistår verktøyet deg ved gjennomføringen av selve DPIAen i de tilfellene der det er nødvendig. 

Privacy DPIA hjelper deg kort sagt med å administrere, delegere og registrere alle identifiserte risikoer. Med en rapport som dokumenterer ditt arbeid, vil du oppnå økt innsikt i dine behandlingsaktiviteter, og kan dermed enkelt bevise at du lever opp til kravene i GPDR.

Kontakt oss for neste steg

Kontakt oss for en samtale der vi sammen kartlegger hvordan vi best kan støtte ditt personvernarbeid!