Vurdere personvernkonsekvenser - Kunnskapsbasen
Vurdere personvernkonsekvenser
English version: Data protection impact assessment
Denne siden forklarer hvordan man foretar en vurdering av konsekvenser for personvernet ved behandling av personopplysninger. Den inneholder også en mal for vurdering av personvernkonsekvenser.
Temaside om informasjonssikkerhet | Sider merket med Personvern
Hvorfor skal personvernkonsekvenser vurderes?
En vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA) skal sikre at personvernet til de som er registrert (eks studenter, ansatte, forskningsdeltakere) i løsningen ivaretas. Artikkel 35 i personvernforordningen (GDPR) definerer når det er påkrevd å gjøre en DPIA, hva den skal inneholde og hvem som skal gjennomføre den.
NTNU har utarbeidet en retningslinje om når det skal utføres en personvernkonsekvensvurdering og om hvordan en vurdering av personvernkonsekvenser skal gjennomføres. Rutinen som gjelder for hele NTNU, er basert på veileder fra WP 29 (Arbeidsgruppe/ekspertgruppe på EU-nivå), veileder fra Datatilsynet og diverse andre retningslinjer og veiledninger fra sektoren om DPIA.
Prinsipper for behandling av personopplysninger
Det er viktig å understreke at all behandling av personopplysninger skal skje med hensyntaken til de grunnleggende prinsipper for behandling av personopplysninger (GDPR art 5):
Lovlig, rettferdig og åpen: Behandling av personopplysninger må ha et rettslig grunnlag. Behandling av personopplysninger skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal være oversiktlig og forutsigbar for den registrerte.
Formålsbegrensning: Formål(ene) skal være spesifikt, uttrykkelig angitt og berettiget.
Dataminimering: Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene.
Riktighet: Personopplysninger skal være korrekte og oppdaterte.
Lagringsbegrensning: Personopplysninger skal slettes eller anonymiseres når formålet er oppnådd.
Integritet og fortrolighet: Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes.
Ansvarlighet: Prinsippet om ansvarlighet understreker ansvaret for å opptre i samsvar med prinsippene for behandling av personopplysninger og for å ivareta de registrertes rettigheter og friheter. Vi må kunne dokumentere etterlevelse.
Når skal det gjennomføres en vurdering av personvernkonsekvenser (DPIA)?
DPIA er obligatorisk når behandling av personopplysninger vil medføre en høy risiko for fysiske personers (eks studenter, ansatte, eksterne kontakter, forskningsdeltakere) rettigheter og friheter.
I personvernforordningen artikkel 35 nr. 1 står det: «Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.»
I tillegg skal «den behandlingsansvarlige foreta en gjennomgåelse for å vurdere om behandlingen utføres i samsvar med vurderingen av personvernkonsekvenser, i det minste dersom risikoen som behandlingen medfører, endres.» (Artikkel 35 nr. 11).
Mal for vurdering av personvernkonsekvenser (DPIA) (word-dokument)
Sjekkliste for helseforskere
Er du helseforsker, og vil sjekke om du trenger å gjøre en personvernkonsekvensvurdering? Fakultet for medisin og helsevitenskap har laget en egen sjekkliste for helseforskere (velg nytt element).
Rutiner ved Fakultet for medisin og helsevitenskap
Fakultet for medisin og helsevitenskap (MH) har en egen mal for dpia for helseforskningsprosekter:
- MH - Mal for personvernkonsekvensvurdering (DPIA) for helseforskningsprosjekter (word-dokument)
- MH - Data protection impact assessment (DPIA) (word-document)
Insituttleder skal godkjenne og signere personvernkonsekvensvurderingern. Ferdig utfylt personvernkonsekvensvurdering sendes til administrasjonen ved ditt institutt for arkivering i ePhorte (saksnummer 2023/24702).
Eksempel på ferdig utfylt og kvalitetssikret DPIA (word-dokument).
Personvernombud ved St. Olavs hospital vurderer DPIA i godkjent mal som er utarbeidet av Direktoratet for e-helse. Personvernombud ved St. Olavs hospital vurderer kun DPIA for aktiviteten St. Olavs hospital er ansvarlig for.
Prosjekter som behandler personopplysinger, men faller utenfor helseforskningslovens bestemmelser, skal meldes til NSD - Norsk senter for forskningsdata.
Behandling av personopplysninger med høy risiko
GDPR artikkel 35 nr. 3) gir noen eksempler på når en behandling sannsynligvis vil medføre en høy risiko. I behandlinger som nevnt i disse eksemplene skal det på NTNU gjennomføres en vurdering av personvernkonsekvenser:
a) en systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning for den fysiske personen eller på lignende måte i betydelig grad påvirker den fysiske personen,
b) behandling i stor skala av særlige kategorier (sensitive personopplysninger) av opplysninger som nevnt i artikkel 9 nr. 1, eller av personopplysninger om straffedommer og lovovertredelser som nevnt i artikkel 10, eller
c) en systematisk overvåking i stor skala av et offentlig tilgjengelig område.
Kriterier for vurdering om DPIA skal gjennomføres
Det kan foreligge høy risiko ved andre behandlinger som ikke omfattes av eksemplene over. Til hjelp for å fange opp andre behandlinger med iboende høy risiko som krever at det skal gjennomføres DPIA på NTNU, skal nedenstående ni egenskaper/kriterier ved behandlingen av personopplysninger vurderes.
Det skal gjennomføres en vurdering av personvernkonsekvenser dersom minst to av kriteriene er oppfylt. Dersom bare ett av kriteriene er oppfylt, må det foretas en nøyere vurdering. I disse tilfellene bør prosjektleder rådføre seg med jurist i avdeling for virksomhetsstyring og eller personvernombudet.
Kriteriene er:
1. Evaluering eller poengsetting, inkludert profilering og forutsigelse, spesielt «aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser»
2. Automatiske beslutninger med rettslig eller tilsvarende betydelig virkning. Behandling som har som formål å ta beslutninger om den registrerte som har «rettsvirkning for den fysiske personen» eller «på lignende måte i betydelig grad påvirker den fysiske personen»
3. Systematisk monitorering/overvåking. Behandlingsaktiviteter som brukes for å observere, overvåke eller kontrollere de registrerte, inkludert opplysninger som har blitt samlet inn gjennom nettverk eller «en systematisk overvåking i stor skala av et offentlig tilgjengelig område».
4. Særlige kategorier av personopplysninger eller opplysninger av svært personlig karakter. Dette omfatter særlige kategorier av personopplysninger (tidligere kalt sensitive personopplysninger) som er definert i artikkel 9 (for eksempel helseopplysninger og informasjon om enkeltpersoners politiske meninger).
5. Personopplysninger behandles i stor skala. Det er ikke klart hva som utgjør stor skala. Det anbefales at følgende faktorer vurderes spesielt når man avgjør hvorvidt behandlingen gjennomføres i stor skala:
a. Antallet registrerte som berøres, enten som et spesifikt antall eller som en andel av den relevante populasjonen.
b. Mengden og/eller spennvidden i personopplysningene som behandles.
c. Databehandlingens varighet eller regelmessighet.
d. Behandlingens geografiske omfang.
6. Matching eller sammenstilling av datasett som for eksempel stammer fra to eller flere databehandlingsoperasjoner som gjennomføres med ulike formål og/eller av ulike behandlingsansvarlige på en måte som overstiger den registrertes rimelige forventninger.
7. Personopplysninger om sårbare registrerte. Behandling av denne typen av personopplysninger er et kriterium på grunn av den skjeve maktbalansen mellom de registrerte og den behandlingsansvarlige, som betyr at enkeltpersoner kan være ute av stand til, på en enkel måte, å gi sitt samtykke eller motsette seg behandlingen av sine personopplysninger eller utøve sine rettigheter. Sårbare registrerte kan omfatte barn (de kan anses å ikke være i stand til på en bevisst og gjennomtenkt måte å motsette seg eller gi samtykke til behandling av sine personopplysninger), arbeidstakere, mer sårbare befolkningsgrupper som behøver sosial beskyttelse (psykisk syke personer, asylsøkere, eldre personer, pasienter og så videre), samt i de situasjoner der det foreligger en ubalanse i forholdet mellom den registrerte og den behandlingsansvarlige.
8. Innovativ bruk eller anvendelse av ny teknologisk eller organisatorisk løsning, som en kombinasjon av fingeravtrykk og ansiktsgjenkjenning for en forbedret fysisk adgangskontroll og så videre. Det går klart frem av forordningen (artikkel 35 nr. 1 og fortalepunkt 89 og 91) at bruk av ny teknologi som defineres «i samsvar med det oppnådde nivået av teknisk kunnskap» kan medføre behov for å gjennomføre en vurdering av personvernkonsekvenser. Grunnen til dette er at anvendelse av ny teknologi kan medføre nye former for innsamling og bruk av personopplysninger, eventuelt med høy risiko for den enkeltes rettigheter og friheter. De personlige og sosiale konsekvensene ved anvendelsen av ny teknologi kan være ukjente. En vurdering av personvernkonsekvenser hjelper den behandlingsansvarlige å forstå og håndtere slike risikoer. For eksempel kan visse «tingenes internett»-applikasjoner få betydelige konsekvenser for den enkeltes dagligliv og privatliv, og kan derfor kreve en vurdering av personvernkonsekvenser.
9. Når behandlingen «hindrer de registrerte i å utøve en rettighet eller gjøre bruk av en tjeneste eller en avtale». Dette omfatter behandlinger som tar sikte på å tillate, endre eller nekte den registrerte tilgang til en tjeneste eller inngå en avtale. Jo flere av ovennevnte egenskaper/kriterier behandlingen vil oppfylle, desto mer sannsynlig er det at det foreligger en høy risiko, slik at det vil være krav om å gjennomføre en DPIA.
Eksempler på bruk av kriteriene
Her følger noen eksempler som illustrerer hvordan kriteriene skal brukes til å vurdere om en bestemt behandlingsaktivitet krever en personvernkonsekvensvurdering.
Eksempler på behandlingsaktivitet hvor det er sannsynlig at personvernkonsekvensvurdering kreves:
Et sykehus behandler sine pasienters genetiske og helsemessige informasjon (sykehusinformasjonssystem). Mulige relevante kriterier:
- Særlige kategorier av personopplysninger
- Opplysninger om sårbare registrerte
- Opplysninger behandlet i stor skala
Bruk av kamerasystem for å overvåke kjøreoppførsel på motorveier. Behandlingsansvarlig vil bruke et intelligent videoanalysesystem for å identifisere enkelte biler og automatisk gjenkjenne registreringsskilt Mulige relevante kriterier:
- Systematisk overvåking
- Innovativ bruk eller bruk av nye teknologiske eller organisatoriske løsninger.
Lagring av pseudonymiserte særlige kategorier av personopplysninger om sårbare registrerte for forskningsprosjekter eller kliniske studier (arkiveringsformål). Mulige relevante kriterier:
- Særlige kategorier av personopplysninger
- Opplysninger om sårbare registrerte
- Hindrer de registrerte i å utøve en rettighet eller å bruke en tjeneste eller kontrakt
Innsamling av offentlige sosiale medier-opplysninger for å generere profiler. Mulige relevante kriterier:
- Evaluering eller poengvurdering
- Behandling av personopplysninger i stor skala
- Sammenstilling av datasett
- Særlige kategorier av personopplysninger
Eksempler på behandlingsaktivitet hvor det er sannsynlig at personvernkonsekvensvurdering ikke kreves:
Behandling av personopplysninger fra pasienter eller klienter av én enkelt lege/helsearbeider eller advokat. Mulige relevante kriterier:
- Særlige kategorier av personopplysninger
- Personopplysninger om sårbare registrerte
Et nettmagasin bruker en postliste for å sende sine abonnenter en daglig oppdatering. Mulig relevant kriterium:
- Behandling av personopplysninger i stor skala
En nettbutikk viser reklame for en spesifikk vare, basert på varer som er sett eller kjøpt på sin nettside (begrenset profilering). Mulig relevant kriterium:
- Evaluering eller poengvurdering
En behandlingsansvarlig må likevel vurdere at en behandlingsaktivitet, som tilsvarer et av de overnevnte eksemplene, ikke er sannsynlig til å medføre høy risiko. I slike tilfeller bør behandlingsansvarlig begrunne og dokumentere årsakene til å ikke utføre en personvernkonsekvensvurdering, og inkludere personvernombudets betraktninger.
Når er en personvernkonsekvensvurdering (DPIA) ikke nødvendig å gjennomføre?
- Når det ikke er sannsynlig at behandlingsaktiviteten vil medføre en høy risiko for fysiske personers rettigheter og friheter, jf. art. 35 nr. 1 tolket antitetisk;
- Når omfanget, konteksten og formålet med behandlingsaktiviteten er svært lik en behandlingsaktivitet det allerede har blitt utført en personvernkonsekvensvurdering for. I slike tilfeller kan resultatene fra den like behandlingsaktivitetens personvernkonsekvensvurdering brukes, jf. art. 35 nr. 1 siste punktum;
- Når behandlingsaktiviteten har blitt godkjent av Datatilsynet i henhold til direktiv 95/46/EF før mai 2018, og de spesifikke forhold ikke er endret, jf. fortalepunkt 171;
- Når en behandlingsaktivitet, i tråd med art. 6 nr. 1 bokstav c eller e, er lovregulert, der loven regulerer den spesifikke behandlingsaktiviteten, og hvor en personvernkonsekvensvurdering allerede har blitt gjennomført som en del av grunnlaget for lovreguleringen, unntatt hvis lovgiver har erklært det nødvendig å gjennomføre en personvernkonsekvensvurdering for den aktuelle behandlingsaktiviteten, jf. art. 35 nr. 10;
- Når behandlingen er inkludert på listen (utarbeidet av Datatilsynet) av behandlingsaktiviteter som ikke krever personvernkonsekvensvurdering, jf. art. 35 nr. 5. I slike tilfeller kreves det ikke en personvernkonsekvensvurdering, men bare hvis behandlingsaktiviteten faller strengt innenfor rekkevidden av den aktuelle behandlingen som er nevnt i listen, og fortsetter å oppfylle alle de relevante kravene i GDPR.
Kontakt
Har du spørsmål om vurdering av personvernkonsekvenser, kan du kontakte NTNUs personvernombud.