Vær i samsvar

En organisasjon må ikke bare behandle personopplysninger i henhold til personvernforordningen, men den må også kunne demonstrere etterlevelsen. 
Dette innebærer å implementere innebygd personvern, føre protokoller over behandlingsaktiviteter, og under visse omstendigheter gjennomføre en vurdering av personvernkonsekvenser.

Innebygd personvern og personvern som standardinnstilling

Som behandlingsansvarlig må du iverksette egnede tekniske og organisatoriske tiltak, både ved utformingen av behandlingen og på tidspunktet for selve behandlingen. Du må også sørge for at det som standard bare behandles personopplysninger som er nødvendige for hvert spesifikke formål. Dette gjelder mengden personopplysninger, omfanget av behandlingen, hvor lenge de lagres og tilgjengeligheten.

Med andre ord: en organisasjon som har innebygd personvern og personvern som standardinnstilling, vurderer og implementerer personvern i hvert aspekt av verktøyene som brukes og på alle stadier av behandlingen.

For å oppnå dette må virksomheten ta i betraktning følgende forhold før den igangsetter noen behandlingsaktiviteter:

  • arten, konteksten og omfanget av den planlagte behandlingen,
  • risikoene som kan oppstå fra de planlagte behandlingsaktivitetene eller fra andre forretningsaktiviteter som kan ha innvirkning på personopplysninger;
  • de tekniske og organisatoriske tiltakene som bør iverksettes for å redusere de påviste risikoene, og dermed sikre at personopplysninger er tilstrekkelig beskyttet,
  • de tekniske og organisatoriske tiltakene eller prosedyrene som skal iverksettes for å sikre at behandling av personopplysninger (herunder særlig innsamling, lagring og generell bruk av personopplysninger) begrenses til det som er nødvendig i lys av formålene som forfølges.

I praksis

  • En bokhandel ønsker å øke inntektene ved å selge bøker på nettet. Bokhandleren ønsker å sette opp et standardisert skjema for bestillingsprosessen. I første omgang gjør eieren alle feltene i skjemaet obligatoriske, inkludert kundens fødselsdato, telefonnummer og hjemmeadresse. Men ikke alle feltene i skjemaet er nødvendige for å selge og levere bøkene.
    For eksempel, når kunden bestiller en e-bok, kan vedkommende laste ned produktet direkte til enheten sin. Dermed kan dette ikke være obligatoriske felt i webskjemaet for å bestille e-bøker. Nettbutikkeieren bestemmer seg derfor for å lage to webskjemaer: ett webskjema for bestilling av bøker med et felt for kundens adresse, og ett webskjema for bestilling av e-bøker uten et felt for kundens adresse. Ved å gjøre det, sørger eieren for at bare de opplysningene som er nødvendige for behandlingen, samles inn.
  • En legepraksis som har ansatt flere leger samler inn opplysninger om sine pasienter i virksomhetens informasjonssystem. De ulike legene kan ha behov for å få tilgang til pasientjournaler for eksempel når de dekker for en annen lege som er fraværende, for å informere om beslutninger knyttet til omsorg og behandling, samt dokumentere alle diagnoser og behandlinger gitt til pasientene.

Det er nyttig å holde oversikt over disse vurderingene og tiltakene for å kunne demonstrere at du etterlever prinsippene for  innebygd personvern og personvern som standardinstilling. En godkjent sertifiseringsmekanisme kan også brukes som et element for å demonstrere etterlevelse av innebygd personvern og personvern som standardinnstilling.

Lenke
25 i GDPR

EUR-Lex

Lenke
Retningslinjer for artikkel 25 – Innebygd personvern og personvern som standardinnstilling

EDPB

Plikt til å føre protokoller over databehandlingen

Som virksomhet har du plikt til å holde oversikt over behandlingsaktivitetene dine.  Disse protokollene skal være skriftlige, herunder elektroniske.

Dette registeret gir deg en oversikt over dine behandlingsaktiviteter. For å opprette et slikt register, bør du identifisere hvilke av dine aktiviteter som krever behandling av personopplysninger (for eksempel rekruttering, lønnsstyring, opplæring, legitimasjon og tilgangsstyring, liste over potensielle kunder, etc.). Hver av disse behandlingsoperasjonene skal beskrives i protokollen med følgende opplysninger:

  • formålet med behandlingen (f.eks. kundelojalitet);
  • kategoriene av personopplysninger som behandles (f.eks. for lønnslister: navn, fornavn, fødselsdato, lønn osv.);
  • hvem som har tilgang til personopplysningene (mottakerne — f.eks.: avdelingen med ansvar for rekruttering, IT-tjeneste, ledelse, tjenesteleverandører, partnere...);
  • der det er relevant, informasjon knyttet til overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområde (EØS);
  • der det er mulig, lagringsperioden (den perioden personopplysningene er nyttige fra et operativt perspektiv, og fra et arkiveringsperspektiv);
  • der det er mulig, en generell beskrivelse av sikkerhetstiltakene.

Protokoller over behandlingsaktiviteter faller under ansvaret til virksomhetens leder.  Protokollen skal på anmodning gjøres tilgjengelig for tilsynsmyndigheten i EØS-landet der virksomheten opererer.

For virksomheter med færre enn 250 ansatte, er det ikke nødvendig å føre rent sporadiske behandlingsaktiviteter i protokollen (f.eks. opplysninger behandlet for engangshendelser, som åpning av en butikk).

Lenke
30 i GDPR

EUR-Lex

Lenke
30.5 i GDPR

EUR-Lex

Lenke
Artikkel 29-arbeidsgruppen: Standpunkt om unntak fra plikten til å føre protokoller over behandlingsaktiviteter (vedtatt av EDPB)

EU-kommisjonens nyhetsrom

Hvordan gjennomføre en vurdering av personvernkonsekvenser (DPIA)?

Hva er en DPIA?

Dersom en behandling sannsynligvis vil medføre en høy risiko for enkeltpersoners rettigheter og friheter, må den behandlingsansvarlige gjennomføre en vurdering av personvernkonsekvenser (DPIA). En DPIA er en skriftlig vurdering av en planlagt behandling. Denne vurderingen hjelper deg med å identifisere de nødvendige sikkerhetstiltakene for å redusere risikoen og for å dokumentere etterlevelse.

 

Når skal jeg gjøre en DPIA?

Virkningen av planlagte behandlingsaktiviteter skal fortrinnsvis alltid vurderes ved hjelp av en DPIA. En slik vurdering er dessuten obligatorisk når behandlingen sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter. 

Nærmere bestemt er DPIA obligatorisk når den planlagte behandlingen innebærer:

  • behandling — i stor skala — av  særlige kategorier av opplysninger, eller av opplysninger om straffedommer og lovovertredelser;
  • en systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som gir rettsvirkninger for den aktuelle personen eller på lignende måte i betydelig grad påvirker den fysiske personen;
  • systematisk overvåking i stor skala av et offentlig tilgjengelig område.

I de fleste tilfeller bør behandlingsaktiviteter som oppfyller to av følgende kriterier vurderes gjennom en DPIA:

  1. evaluering eller scoring;
  2. automatisert beslutningstaking med rettsvirkninger eller lignende betydelig påvirkning;
  3. systematisk overvåking;
  4. særlige kategorier personopplysninger eller opplysninger av svært personlig karakter;
  5. opplysninger som behandles i stor skala;
  6. matche eller kombinere datasett;
  7. opplysninger om sårbare registrerte,
  8. innovativ bruk eller bruk av nye teknologiske eller organisatoriske løsninger;
  9. når behandlingen i seg selv hindrer enkeltpersoner i å utøve en rettighet eller bruke en tjeneste eller en kontrakt.

Trenger jeg å gjennomføre en vurdering av personvernkonsekvenser (DPIA)?

Finn svaret ved å svare på spørsmålene i det interaktive flytskjemaet vårt!

Er det sannsynlig at behandlingen medfører høy risiko?

Kan noen av unntakene gjøres gjeldende?

Eksempler på når en DPIA ikke er nødvendig:

  • den planlagte behandlingen er svært lik en behandling som allerede har vært gjenstand for en DPIA,
  • typen behandling er oppgitt i en unntaksliste vedtatt av din nasjonale tilsynsmyndighet;
  • behandlingen er autorisert i henhold til EU-lovgivning eller nasjonal lovgivning.

Trenger jeg å gjennomføre en DPIA?

Ja, du trenger å utføre DPIA

Finnes det fortsatt høy risiko etter DPIAen er gjennomført?

Trenger jeg å gjennomføre en DPIA?

Det er ikke behov for DPIA

Rådfør deg med din nasjonale tilsynsmyndighet

Du trenger ikke rådføre deg med din nasjonale tilsynsmyndighet

Beste DPIA råd

Du bør ta kontakt med tilsynsmyndigheten i EØS-landet der virksomheten din er basert for å finne ut om de har et offentlig tilgjengelig dokument som viser vilkårene for hvilke behandlingsaktiviteter som vil trenge en DPIA, og hvilke behandlingsaktiviteter som ikke trenger en DPIA.

 

Eksempler på når en DPIA kan være nødvendig:

  • behandling av biometriske data, for eksempel skanning av fingeravtrykk eller ansiktstrekk for å identifisere pasienter;
  • bruke opplysninger om sårbare personer til markedsføringsformål, for eksempel for å forutsi deres kjøp;
  • sporing av den enkeltes plassering ved hjep av mobilapper.

 

Eksempler på når en DPIA ikke er nødvendig

  • den planlagte behandlingen er svært lik en behandling som allerede har vært gjenstand for en DPIA,
  • behandlingen inngår i den valgfrie listen over behandlingsaktiviteter (etablert av din nasjonale tilsynsmyndighet) som ikke er underlagt en DPIA;
  • behandlingen er autorisert i henhold til EU/EØS- eller nasjonal lovgivning.

Hva bør en DPIA inneholde?

Din DPIA bør inneholde:

  • en beskrivelse av den planlagte behandlingen og dens formål,
  • en vurdering av nødvendighet og forholdsmessighet, 
  • risikoene som behandlingsaktivitetene kan medføre,
  • tiltak for å håndtere risikoene. 

 

Forhåndsdrøftinger under en DPIA

Når den behandlingsansvarlige ikke finner tilstrekkelige tiltak for å redusere risikoen til et akseptabelt nivå (dvs. når den gjenværende risikoen fortsatt er høy), er det nødvendig å rådføre seg med tilsynsmyndigheten. I så fall skal den behandlingsansvarlige framlegge følgende opplysninger:

  • ansvarsfordelingen mellom den behandlingsansvarlige, de felles behandlingsansvarlige og databehandlerne som er involvert i behandlingen;
  • formålene med og midlene for den planlagte behandlingen;
  • tiltakene som er planlagt for å verne de registrertes personopplysninger;
  • kontaktinformasjonen til personvernombudet i organisasjonen din, hvis det er aktuelt;
  • den aktuelle DPIA.

 

Etter en DPIA – Test, gjør forbedringer og kontrollsjekk!

Når DPIA er utarbeidet, må du teste det; forbedre det hvis det er nødvendig; utføre behandlingsaktiviteten; revurdere om DPIA samsvarer med behandlingsaktiviteten; og kontrollsjekke.

Lenke
35 i GDPR

EUR-Lex

Lenke
36 i GDPR

EUR-Lex

Lenke
Artikkel 29-arbeidsgruppen: Retningslinjer for vurdering av personvernkonsekvenser (DPIA)

EU-kommisjonens nyhetsrom

Lenke
Til retningslinjer for vurdering av personvernkonsekvenser

Arc prosjekt

Lenke
Nasjonale lister over typer behandlingsaktiviteter som krever eller ikke krever en vurdering av personvernkonsekvenser

Data Protection Commission, det irske datatilsynet

Code of Conduct

Avhengig av hvor organisasjonen din befinner seg i EØS, kan det være foreninger eller andre organer som representerer behandlingsansvarlige eller databehandlere. Disse foreningene og organene kan utarbeide atferdsnormer, herunder personvernsmekanismer, som behandlingsansvarlige og databehandlere kan følge for å bidra til å sikre at enkeltpersoners personopplysninger behandles i henhold til GDPR.

Nærmere bestemt er disse atferdsnormene satt på plass for å sikre for eksempel:

  • at personopplysninger behandles på en rettferdig og åpen måte;
  • at formålene som personopplysningene behandles for, er berettigede;
  • hvordan personopplysninger kan pseudonymiseres;
  • at åpen informasjon gis til de registrerte;
  • at samtykke til behandling av personopplysninger, spesielt personopplysninger knyttet til barn, er innhentet på en hensiktsmessig måte;
  • at alle tekniske og organisatoriske tiltak er iverksatt for å sikre sikker behandling av personopplysninger;
  • at framgangsmåtene for melding om brudd på personopplysningssikkerheten følges;
  • at prosedyrer, herunder sikkerhetstiltak, knyttet til overføring av personopplysninger til land og virksomheter utenfor EØS følges;
  • at prosedyrene knyttet til rettssaker og tvisteløsning følges.

Beste råd

  • Du bør ta kontakt med den relevante foreningen eller organet som utarbeider atferdsnormer under GDPR, da disse kan hjelpe deg med å etterleve GDPR.

Sertifisering

Hva er en GDPR-sertifisering?

En organisasjon som får en GDPR-sertifisering, kan bruke denne sertifiseringen til å demonstrere etterlevelse av GDPR.

Tilsynsmyndighetene kan for eksempel:

  • utstede GDPR-sertifiseringer i henhold til egen sertifiseringsmekanisme;
  • utstede GDPR-sertifiseringer selv, i henhold til sin egen sertifiseringsmekanisme, men delegere hele eller deler av vurderingsprosessen til tredjeparter;
  • opprette sin egen sertifiseringsmekanisme, og betro bestemte organer til å utstede disse sertifiseringene,
  • oppmuntre markedet til å utvikle sertifiseringsmekanismer,
  • vurdere sertifiseringsmekanismene til sertifiseringsorganer.

Et sertifiseringsorgan har til oppgave å utstede, gjennomgå og tilbakekalle sertifiseringer på grunnlag av en sertifiseringsmekanisme og godkjente kriterier.

Sertifiseringsorganer må dokumentere sin vurdering av virksomheters behandlingsaktiviteter som kan sertifiseres i henhold til GDPR.

 

Min organisasjon har fått en GDPR-sertifisering, hva er neste steg?

GDPR-sertifiseringen av en behandlingsaktivitet som virksomheten utfører er gyldig i maksimalt 3 år, men kan fornyes eller tilbakekalles. For å beholde sertifiseringen må organisasjonen kontinuerlig og konsekvent benytte tiltakene rundt behandlingsaktiviteten som ble sertifisert.

Lenke
42 i GDPR

EUR-Lex

Lenke
43 i GDPR

EUR-Lex

Lenke
Retningslinjer for sertifisering og identifisering av sertifiseringskriterier i henhold til GDPR artikkel 42 og 43

EDPB