Når virksomheten starter nye behandlinger av personopplysninger, skal behandle opplysninger for nye formål eller bruke ny teknologi, burde man gjennomføre en vurdering av risikoen med behandlingen. Formålet med vurderingen, eller analysen, er å finne ut om behandlingen kan medføre en høy risiko for fysiske personers rettigheter og friheter. Hvis man som et resultat av denne forhåndsvurderingen finner at behandlingen medfører høy risiko, så skal man gjennomføre en personvernkonsekvensvurdering (DPIA), men mer om dette litt senere.
Det er spesielt viktig å gjøre en forhåndsvurdering hvis
- behandlingen inkluderer sensitive personopplysninger eller opplysninger om lovbrudd i stor skala
- behandlingen innebærer systematisk og omfattende overvåkning av offentlige steder
- det forekommer automatisk beslutningstaking som har betydelige konsekvenser for de registrerte
- dere konkluderer med at en behandling kan medføre en høy risiko, må dere gjennomføre en personvernkonsekvensvurdering, også kjent som en DPIA (Data Protection Impact Assessment). Formålet med en DPIA vil i hovedsak være å forebygge risiko, men det vil samtidig være et bevis på at dere har vurdert risikoene knyttet til behandlingen og hvilke beskyttelsestiltak som kreves.
Hva betyr egentlig høy risiko?
Det europeiske datatilsynet (EDPB) har retningslinjer som hjelper til med å avgjøre hvor risikofylt en behandling er. Det er lurt å starte med en forhåndsvurdering for å avgjøre hvorvidt det vil være nødvendig å gjøre en fullstendig DPIA . Hvis minst to av de ni kriteriene er oppfylt, kan behandlingen medføre høy risiko, og dere må gjennomføre en fullstendig DPIA.
Her er kriteriene i korte trekk:
- Evaluering eller scoring av de registrerte. For eksempel virksomheter som undersøker kundene sine ved hjelp av kredittvurdering eller bioteknologiselskaper som utfører genetiske tester for å forutsi sykdommer/helserisiko.
- Automatisert beslutningstaking med juridiske eller lignende betydelige konsekvenser. For eksempel behandling som kan føre til utestenging eller diskriminering av enkeltpersoner.
- Systematisk overvåkning der behandlinger brukes til å observere, overvåke eller kontrollere registrerte. For eksempel kameraovervåkning på offentlige steder.
- Sensitive opplysninger eller opplysninger av svært personlig karakter. For eksempel et sykehus som lagrer pasientjournaler.
- Opplysninger som behandles i stor skala der mange registrerte berøres.
- Matching eller kombinering av personopplysninger fra to eller flere behandlinger utført for ulike formål som overstiger de registrertes rimelige forventninger.
- Opplysninger som angår sårbare registrerte, der det er en ubalanse i makt mellom de registrerte og den ansvarlige for behandling av personopplysninger. For eksempel barn eller befolkningsgrupper som trenger sosial beskyttelse.
- Innovativ bruk eller anvendelse av nye tekniske eller organisatoriske løsninger. For eksempel fingeravtrykk- eller ansiktsgjenkjenning som brukes til forbedret adgangskontroll.
- Behandlingen hindrer de registrerte i å utøve en rettighet eller bruke en tjeneste eller en avtale. For eksempel når en bank undersøker kundene sine gjennom kredittvurdering.
Last ned vårt faktaark om emnet
Trenger dere støtte i GDPR-arbeidet deres?
Føler dere at det er mange deler av GDPR å holde oversikt over, og at det er vanskelig å få en helhetlig forståelse? Da anbefaler vi vår tjeneste Privacy as a Service, som er en helhetlig løsning for GDPR-arbeidet deres. Uavhengig av hvor langt dere har kommet med GDPR, hjelper vi dere med å komme i gang eller fortsette der dere er nå, og etablerer en prosess for fremtidig arbeid. Tjenesten er basert på Systematisk Personvernarbeid (SPA) - en metode utviklet av oss på Visma Draftit. SPA består av fire sentrale deler: Nåtids-analyse, Risikoidentifisering, Forslag til tiltak og anbefalinger, og Kontinuerlig oppfølging.