DPIA er et verktøy for å kartlegge og håndtere risikoer knyttet til behandling av personopplysninger. Målet er å redusere risikoen til et akseptabelt nivå, slik at behandlingen av personopplysninger kan gjennomføres, samtidig som prosjektet ivaretar rettighetene og frihetene til de personene dere forsker på.
DPIA er ikke nødvendig i alle prosjekter som behandler personopplysninger. Det er påkrevd før oppstart av en behandling av personopplysninger som “sannsynligvis gir høy risiko for de registrertes rettigheter og friheter”. Du må altså vurdere om dette gjelder i ditt prosjekt. Ved å følge stegene hittil i veilederen, har du kartlagt forhold ved prosjektet ditt som gjør deg i stand til å foreta denne vurderingen.
Hva som regnes som “høy risiko” er definert i personvernforordningen art. 35. Her står det blant annet at DPIA er nødvendig før særlige kategorier eller strafferettslige personopplysninger behandles i stor skala, og før systematisk overvåking i stor skala av et offentlig tilgjengelig område. EUs personvernråd (EDPB) og Datatilsynet har utgitt egne veiledere om gir utfyllende forklaringer på hvordan man går frem for å vurdere hva som er høy risiko.
I sin veileder lister EDPB opp ni kriterier for hva som gir høy risiko, og forklarer at jo flere av kriteriene som gjelder for behandlingen av personopplysninger, desto mer sannsynlig er det at DPIA er påkrevd.
Etter EDPB-kriteriene skal DPIA vurderes hvis prosjektet:
- behandler sensitive personopplysninger (særlige kategorier, straffedommer/lovovertredelser, eller svært personlig karakter)
- behandler personopplysninger i stor skala (mht. utvalgsstørrelse, mengde opplysninger, varighet, frekvens)
- behandler personopplysninger om sårbare registrerte
- sammenstiller datasett (f.eks. datakilder med ulike formål/dataansvarlige) som overstiger den registrertes rimelige forventninger
- innebærer at de registrerte hindres i å utøve sine rettigheter
- innebærer innovativ bruk av ny teknologi eller organisatorisk løsning
- innebærer evaluering (profilering/kartlegging av personopplysninger for å analysere eller forutsi personers adferd, helseforhold, preferanser, interesser, evner, behov el.)
- innebærer systematisk monitorering (ulike former for observasjon/sporing av personer, bl.a. på internett/offentlig område, f.eks. kameraovervåking, observasjon av internettaktivitet, lokasjonssporing og helseovervåking ved hjelp av sensorer og applikasjoner)
I tillegg til disse kriteriene, har Datatilsynet utarbeidet en liste over behandlinger av personopplysninger som krever DPIA. Vi har laget en kortversjon av Datatilsynets liste som følger under. Datatilsynets veiledning og listen i sin helhet finner du her: Veiledning om DPIA | Datatilsynet
Oppsummert, må dere ifølge Datatilsynet gjennomføre DPIA hvis prosjektet faller inn under ett eller flere av disse punktene:
1) Personopplysninger behandles slik, i følge med ett annet EDPB-kriterium (se over):
- samles inn via tredjepart
- i stor skala gjennom «tingenes internett» / velferdsteknologi
- biometriske opplysninger for å identifisere enkeltpersoner
- med innovativ teknologi
- genetiske opplysninger
- lokasjonsdata
- uten samtykke til forskningsformål
eller
2) Personopplysninger behandles:
- for systematisk monitorering av ansatte
- for å evaluere læring, mestring og trivsel i skoler eller barnehager
- ved å systematisk monitorere effektivitet, ferdigheter, kunnskap, mental helse og utvikling
- for å tilby tjeneste/utvikle produkter for kommersiell bruk som involverer evaluering av svært personlige opplysninger (forutsi jobbprestasjoner, økonomi, helse, pålitelighet, adferd, personlige preferanser/interesser, lokasjon eller bevegelsesmønster)
- i form av systematisk monitorering på offentlige områder i stor skala (inkl. kameraovervåking)
- i form av kameraovervåking i skoler/barnehager i åpningstid
- i stor skala for algoritmetrening og inkluderer særlige kategorier/svært personlige opplysninger
Hvis prosjektet ditt oppfyller et eller flere av EDPB-kriteriene over, og/eller faller inn under et av punktene på Datatilsynets liste, må prosjektet trolig ha DPIA. Vi anbefaler da at du rådfører deg med din institusjon eller personvernombud for å finne ut om DPIA er nødvendig. Det samme gjelder hvis du er usikker på om prosjektet oppfyller kriteriene. Sjekk også hvilke retningslinjer som gjelder for vurdering av DPIA ved din institusjon.
Hvis prosjektet trenger DPIA, følger du prosedyrene ved din institusjon. DPIA er vanligvis ikke noe du skal sitte med alene. Som regel utfører du DPIA i samarbeid med personvern- og IT-ressurser ved din institusjon. Det finnes flere gode veiledere om hvordan man konkret går frem for å gjennomføre DPIA:
- Datatilsynet har en egen veileder om dette: Veiledning om DPIA | Datatilsynet
- Helsedirektoratet,har utgitt Mal og veiledning for utfylling av personvernkonsekvensvurdering (DPIA).
- Hvis du skal melde prosjekt til Sikt, utarbeider Sikt en DPIA for prosjektet i samarbeid med deg, basert på Sikt sin DPIA-mal.
Kort fortalt er DPIA en prosess der dere beskriver den planlagte behandlingen og vurderer om den er lovlig og forholdsmessig. Deretter kartlegger dere risikoer, og foreslår risikoreduserende tiltak. Personvernombudet skal rådføres før resultatet av DPIA fremlegges i et dokument for ledelsen ved din institusjon.
Ledelsen skal så vurdere om DPIA er godt nok utført, og om risikoen er akseptabel, slik at prosjektet kan starte. Hvis ledelsen kommer til at risikoen ikke er akseptabel, kan ledelsen bestemme at DPIA må revideres, eller at behandlingen må forhåndsdrøftes med Datatilsynet, eventuelt ikke igangsettes.
Husk at det kan være nyttig å undersøke om det er gjennomført DPIA i lignende prosjekter som har brukt samme metodikk og behandling av personopplysninger, og som inneholder vurderinger du kan gjenbruke. Det er imidlertid viktig at vurderingene i DPIA tilpasses ditt prosjekt.
I prosjekter der flere institusjoner deltar, f.eks. multisenterstudier, er det viktig at dere vurderer om DPIA bør gjennomføres i samarbeid med de andre institusjonene. Først må dere identifisere hvilke av institusjonene som er dataansvarlig for behandlingen av personopplysninger som utgjør høy risiko.
Hvis flere institusjoner i fellesskap er ansvarlige for behandlingen, er det som regel ingenting i veien for at en av partene påtar seg å utarbeide utkast til DPIA, så fremt alle er enige om det. Men DPIA bør forankres (med eventuelle lokale tilpasninger) hos alle dataansvarlige, ved at ledelsen signerer.
Hvis personvernkonsekvensene fortsatt er for høye etter at DPIA er utført, og institusjonen(e) vil gjennomføre behandlingen av personopplysninger, er det påkrevd å forhåndsdrøfte behandlingen med Datatilsynet før oppstart. Datatilsynet kan da gi råd og/eller sette vilkår for behandlingen