<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Bruker du tiden på de viktigste personvernvurderingene?

DSC_0716 ‹ Tilbake til artikler

Behandling av personopplysninger kan få store konsekvenser for de som berøres. Derfor skal det i noen tilfeller gjøres en ekstra grundig kartlegging og vurdering av behandlinger. Formålet er da å avdekke om behandlingen krenker rettigheter og friheter, for eksempel rett til privatliv, rett til å ikke bli diskriminert, og ytrings- og informasjonsfrihet.

Når skal det gjennomføres personvernkonsekvensvurderinger?

Det skal gjennomføres personvernkonsekvensvurderinger dersom virksomheten skal behandle personopplysninger på en måte som medfører en høy risiko for fysiske personers rettigheter og friheter. Mange virksomheter synes at denne vurderingen i seg selv er nokså krevende, også etter å ha orientert seg i Datatilsynets veiledninger.

Det må blant annet gjøres konsekvensvurderinger dersom en virksomhet overvåker de ansattes internettaktivitet eller elektroniske kommunikasjon, eller dersom de behandler personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager. Det samme gjelder dersom en virksomhet samler inn store mengder personopplysninger gjennom “tingenes internett”, eller driver med systematisk kameraovervåking på offentlig tilgjengelige områder.

Personvernkonsekvensvurderinger kan bidra til økt tillit

Det kan være gode grunner for å gjennomføre konsekvensvurderinger, også i de tilfeller hvor det ikke er en klar plikt. Slike vurderinger vil skape større trygghet for at behandlingene er lovlige, og derfor bidra til økt tillit både hos de registrerte og hos potensielle kunder av virksomheten.  

Flere virksomheter har valgt kvantitet fremfor kvalitet

Vi har sett at mange virksomheter har feilvurdert plikten til å gjennomføre personvernkonsekvensvurderinger. Dette har ført både til at virksomheter ikke har gjennomført pålagte konsekvensvurderinger, og at det er gjennomført flere konsekvensvurderinger enn det som er nødvendig. Det siste skyldes trolig en frykt for å bli ilagt høye administrative gebyrer for manglende gjennomføring. For flere har dette resultert i at det er gjort mindre grundig arbeid med hver enkelt vurdering enn det burde ha vært gjort. Disse virksomhetene har valgt kvantitet fremfor kvalitet.

Overfladiske personvernkonsekvensvurderinger kan skape falsk trygghet

Vi har også erfart at mange virksomheter ikke har nødvendig kompetanse til å gjennomføre selve konsekvensvurderingen på en skikkelig måte, til tross for gode intensjoner og tilførte ressurser. Gjennomføring av personvernkonsekvensvurderinger krever inngående kunnskap om personvern, som de fleste virksomheter ikke besitter. Det er heller ikke etablert en klar og entydig metodikk for gjennomføring av slike vurderinger, noe som gjør arbeidet ekstra krevende. En ufullstendig eller overfladisk konsekvensvurdering, hvor virksomheten ikke går tilstrekkelig i dybden på de relevante utfordringene, vil i verste fall kunne medføre en falsk trygghet både for virksomhetene selv og de fysiske personene det behandles personopplysninger om. 

Interne ressurser bør engasjeres for å bygge intern kompetanse

Virksomheter som er usikre på om de må gjennomføre personvernkonsekvensvurderinger, bør sette av ressurser til å foreta grundige kartlegginger og vurderinger av de behandlingene dette kan være aktuelt for. 

Når det er avklart hvilke behandlinger som krever konsekvensvurderinger, bør det vurderes om virksomheten har nødvendig kompetanse internt til selve gjennomføringen. Hvis ikke, kan det være fornuftig å søke ekstern bistand. Uansett anbefaler vi at virksomheten involverer de interne ressurser, slik at virksomheten kan bygge intern kompetanse på et krevende område. 

1Ofte kalt DPIA som en forkortelse på Data Privacy Impact Assessment

Ida Solberg Henning

Ida Solberg Henning

Jeg heter Ida Solberg Henning, og jeg jobber som advokat i Advokatfirmaet PwC. Her bistår jeg norske og internasjonale selskaper med spørsmål knyttet til personvern, arbeidsrett, trygd og pensjon. Gjennom mine blogginnlegg ønsker jeg å dele nyheter, informasjon og refleksjoner.

Dersom du har spørsmål eller kommentarer til noe av det jeg har skrevet her på bloggen, er du hjertelig velkommen til å ta kontakt!

Legg igjen en kommentar

Relevante artikler

Les artikkelen

På tide å gjennomgå hvordan informasjonskapsler brukes på virksomhetens nettside?

Jeg er sikkert ikke alene om å gi uttrykk for at “Jeg forstår” eller “Jeg samtykker” når jeg går inn på en nettside, uten egentlig å vite ...

Les artikkelen
Les artikkelen

Arbeidsgiver kan få medhold i at arbeidstaker IKKE skal stå i stilling i oppsigelsestid

Ved tvister om oppsigelse er et sentralt spørsmål om arbeidstaker har rett til å stå i stilling under sakens behandling i domstolene. ...

Les artikkelen
Les artikkelen

Ny avgjørelse bidrar til avklaring av felles behandlingsansvar

Det er ikke bare bloggere og brukere av sosiale medier som jakter «likes» på innholdet de presenterer for sine besøkende. Flere ...

Les artikkelen