Personvernkonsekvensvurdering (DPIA) - obligatorisk initialvurdering og full DPIA v. 1.2

 

 

 

Hensikt

En vurdering av personvernkonsekvenser skal sikre at personvernet til de fysiske personer som er registrerte i løsningen ivaretas. Den skal gjennomføres for inngripende behandlingsaktiviteter som sannsynligvis vil medføre høy risiko for å krenke fysiske personers rettigheter og friheter (personvernforordningen artikkel 35). Sikkerhetstiltak vil ikke nødvendigvis redusere denne faren. Den behandlingsansvarlige må i stedet finne risikoreduserende tiltak ved å endre på hvordan behandlingen skal utføres, og hvordan rettighetene skal ivaretas.

Gjelder for

Ledere, fagsystemansvarlige, prosjektledere.

Ansvar for gjennomføring

Systemeier har ansvar for gjennomføring, men kan delegere myndighet for utførelse til fagsystemansvarlig, prosjektleder mv. Se også Informasjonssikkerhet - policy (Ikke tilgjengelig) roller og ansvar i sikkerhetsorganisasjonen.

Systemeier har ansvar for gjennomføring, men kan delegere myndighet for utførelse til fagsystemansvarlig, prosjektleder mv. Se også oppgavefordeling i Informasjonssikkerhet styrende dokumenter

 

Beskrivelse

Behandlingsansvarlig skal før behandlingen starter, for alle behandlinger av personopplysninger gjennomføre en initialvurdering av behandlingen. Det skal gjøres for å finne ut om det er stor sannsynlighet for at behandlingen vil medføre høy risiko for å krenke fysiske personers rettigheter og friheter. Hvis svaret er at risikoen er høy, skal behandlingsansvarlig før behandlingen starter gjennomføre en full DPIA.

Behandlingsansvarlig skal i forbindelse med utførelsen av full DPIA (personvernkonsekvensvurdering) rådføre seg med personvernombudet i forbindelse med utførelsen. Personvernkonsekvensvurderingen skal alltid vurderes av personvernombudet.

Behandlingsansvarlig skal også gjennomføre en personvernkonsekvensvurdering ved endring av risiko eller ved endring i måten personopplysningene behandles på.

En personvernkonsekvensvurdering er en systematisk beskrivelse av prosessen som beskriver behandlingen av personopplysninger fra alle interessenters synsvinkel, og en vurdering av om den er nødvendig og proporsjonal. Den skal også bidra til å håndtere de risikoene behandlingen medfører for enkeltpersoners rettigheter og friheter.

Risikoene skal vurderes, det skal fastlegges risikoreduserende tiltak for å unngå trusler mot personvernet sett fra den registrertes perspektiv. Risikoreduserende tiltak og risikoaksept skal godkjennes av ansvarlig leder. Vurderingen og godkjenning fra leder er et viktig verktøy for ansvarlighet som sikrer samsvar med kravene i personvernforordningen, og dokumenterer at det er gjort tilstrekkelige tiltak for å sikre at regelverket overholdes.

Det er en prosess som skal bidra til å skape og påvise etterlevelse.

Hva skal beskyttes?

hva_skal_beskyttes.png

Hva er personvernkonsekvenser?

Det er for eksempel:

  • Manglende eller mangelfull kontroll av utlevering av persondata – øker sannsynligheten for feilaktig utdeling.
  • Deling og sammenstilling av datasett kan føre til at virksomheter samler inn mer opplysninger enn enkeltpersoner er klar over.
  • Identifikatorer som blir samlet inn og knyttet sammen, kan hindre folk fra å bruke en tjeneste anonymt.

Hvilke tiltak kan avverge personvernkonsekvenser?

Det er for eksempel:

  • Begrense innsamling eller lagring av enkelte typer opplysninger.
  • Begrense lagringstid slik at opplysninger kun lagres så lenge det er nødvendig, og planlegge sikker sletting/ødeleggelse av informasjon.
  • Utvikle måter for sikker anonymisering når dette er mulig.
  • Gjøre det mulig for enkeltpersoner å få lett tilgang til sine opplysninger, og gjøre det enkelt å håndtere innsynsbegjæringer.

Initialvurdering og full DPIA skal arkiveres i kommunens sak/arkivsystem.

Kristiansand kommune har for registering av gjennomført initialvurdering og full DPIA utarbeidet en Mal initialvurdering og full DPIA.

Viser også til Datatilsynets veileder for vurdering av personvernkonsekvenser (DPIA).

Definisjoner

Den registrertes rettigheter:

  • Rett til informasjon om behandlingen om seg selv
  • Rett til å vite hvordan man kan utøve sin rett til innsyn i egne personopplysninger
  • Mulighet til å korrigere egne personopplysninger
  • Mulighet til å slette egne personopplysninger
  • Mulighet til å begrense behandlingen av egne personopplysninger
  • Mulighet til å utøve retten til dataportabilitet av egne personopplysninger
  • Mulighet til å utøve innsigelse mot behandlingen av egne personopplysninger
  • Mulighet til å reserver seg mot behandling av egne personopplysninger som innebærer automatiserte avgjørelser og profilering

Den registrertes friheter i forhold til Den europeiske menneskerettighetskonvensjonen (EMK):

Retten til:

  • privatliv og kommunikasjonsvern
  • ikke å bli diskriminert
  • tanke-, tros- og religionsfrihet
  • ytrings- og informasjonsfrihet

 

Vedlegg og referanser