Datatilsynets nye veiledning over hvilke aktiviteter som krever vurdering av personvernkonsekvenser (data protection impact assessments, DPIA) viser at mange virksomheter må gjennomføre slike vurderinger.

GDPR art. 35 stiller krav til at visse typer databehandlingsaktiviteter må konsekvensutredes før de igangsettes. Om dette ikke gjøres, vil det utgjøre brudd på GDPR. I lys av Datatilsynets veiledning, vil kravet særlig være aktuelt for følgende aktiviteter:

• Ved systematisk monitorering av ansatte. Der en virksomhet benytter kontrolltiltak med hjemmel i arbeidsmiljøloven kapittel 9, slik som kameraovervåkning eller overvåking av ansattes internettaktivitet.

• Der det benyttes analysemodeller for å si noe om forutberegnelighet. Et eksempel kan være publisister og annonsører som benytter analysemodeller for å forutsi personlige preferanser, interesser eller bevegelsesmønster i forbindelse med online annonsering.

• Ved bruk av innovativ teknologi. Der kunstig intelligens eller andre innovative tekniske løsninger benyttes for algoritmetrening. Et eksempel kan være ved automatiserte beslutninger, som automatiserte kredittvurderinger eller automatisert søknadsbehandling.

• Der det benyttes lokasjonsdata. Der lokasjonsdata kombineres med helseopplysninger, slik som helse- eller treningsapper, der lokasjonsdata registreres i stor skala, slik som for teleoperatører, eller der lokasjonsdata systematisk samles inn i stor skala i forbindelse med ulike sikkerhetsløsninger.

• Der det behandles personopplysninger i stor skala. Dette kan være kjøretøysdata fra en rekke registrerte samlet inn fra bruk av IoT-enheter. Eller ved bruk av opplysninger som er mottatt fra en tredjepart for å kunne gi tilbud om et produkt eller en tjeneste.

En DPIA innebærer en inngående vurdering av personvernkonsekvenser, med en beskrivelse av behandlingsaktivitetene og formålene, en vurdering av nødvendighet, proporsjonalitet og risikoen, og en angivelse av håndtering av risiko.

Datatilsynets liste finnes både på norsk og engelsk. Vi anbefaler alle virksomheter å gjennomgå sine nåværende behandlingsaktiviteter for å avklare om DPIAer er nødvendig og – hvis så er tilfelle – å gjennomføre konsekvensvurderinger.

  • Publisert: