<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Bruker du tiden på de viktigste personvernvurderingene?

DSC_0716 ‹ Tilbake til artikler

Behandling av personopplysninger kan få store konsekvenser for de som berøres. Derfor skal det i noen tilfeller gjøres en ekstra grundig kartlegging og vurdering av behandlinger. Formålet er da å avdekke om behandlingen krenker rettigheter og friheter, for eksempel rett til privatliv, rett til å ikke bli diskriminert, og ytrings- og informasjonsfrihet.

Når skal det gjennomføres personvernkonsekvensvurderinger?

Det skal gjennomføres personvernkonsekvensvurderinger dersom virksomheten skal behandle personopplysninger på en måte som medfører en høy risiko for fysiske personers rettigheter og friheter. Mange virksomheter synes at denne vurderingen i seg selv er nokså krevende, også etter å ha orientert seg i Datatilsynets veiledninger.

Det må blant annet gjøres konsekvensvurderinger dersom en virksomhet overvåker de ansattes internettaktivitet eller elektroniske kommunikasjon, eller dersom de behandler personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager. Det samme gjelder dersom en virksomhet samler inn store mengder personopplysninger gjennom “tingenes internett”, eller driver med systematisk kameraovervåking på offentlig tilgjengelige områder.

Personvernkonsekvensvurderinger kan bidra til økt tillit

Det kan være gode grunner for å gjennomføre konsekvensvurderinger, også i de tilfeller hvor det ikke er en klar plikt. Slike vurderinger vil skape større trygghet for at behandlingene er lovlige, og derfor bidra til økt tillit både hos de registrerte og hos potensielle kunder av virksomheten.  

Flere virksomheter har valgt kvantitet fremfor kvalitet

Vi har sett at mange virksomheter har feilvurdert plikten til å gjennomføre personvernkonsekvensvurderinger. Dette har ført både til at virksomheter ikke har gjennomført pålagte konsekvensvurderinger, og at det er gjennomført flere konsekvensvurderinger enn det som er nødvendig. Det siste skyldes trolig en frykt for å bli ilagt høye administrative gebyrer for manglende gjennomføring. For flere har dette resultert i at det er gjort mindre grundig arbeid med hver enkelt vurdering enn det burde ha vært gjort. Disse virksomhetene har valgt kvantitet fremfor kvalitet.

Overfladiske personvernkonsekvensvurderinger kan skape falsk trygghet

Vi har også erfart at mange virksomheter ikke har nødvendig kompetanse til å gjennomføre selve konsekvensvurderingen på en skikkelig måte, til tross for gode intensjoner og tilførte ressurser. Gjennomføring av personvernkonsekvensvurderinger krever inngående kunnskap om personvern, som de fleste virksomheter ikke besitter. Det er heller ikke etablert en klar og entydig metodikk for gjennomføring av slike vurderinger, noe som gjør arbeidet ekstra krevende. En ufullstendig eller overfladisk konsekvensvurdering, hvor virksomheten ikke går tilstrekkelig i dybden på de relevante utfordringene, vil i verste fall kunne medføre en falsk trygghet både for virksomhetene selv og de fysiske personene det behandles personopplysninger om. 

Interne ressurser bør engasjeres for å bygge intern kompetanse

Virksomheter som er usikre på om de må gjennomføre personvernkonsekvensvurderinger, bør sette av ressurser til å foreta grundige kartlegginger og vurderinger av de behandlingene dette kan være aktuelt for. 

Når det er avklart hvilke behandlinger som krever konsekvensvurderinger, bør det vurderes om virksomheten har nødvendig kompetanse internt til selve gjennomføringen. Hvis ikke, kan det være fornuftig å søke ekstern bistand. Uansett anbefaler vi at virksomheten involverer de interne ressurser, slik at virksomheten kan bygge intern kompetanse på et krevende område. 

                                                                          ***
Dette blogginnlegget er skrevet av Ida Solberg Henning. 

1Ofte kalt DPIA som en forkortelse på Data Privacy Impact Assessment

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Offentlige anskaffelser - hva gjør du ved kjøp av forsikring?

Ved å gjennomføre en anskaffelse av forsikringstjenester i tråd med anskaffelsesregelverket, kan det offentlige oppnå høyere kvalitet til ...

Les artikkelen
Les artikkelen

Bruk av Google Analytics er i strid med personvernforordningen

Onsdag 1. mars 2023 kunngjorde Datatilsynet varsel om vedtak i den såkalte Google Analytics-saken. Tilsynets foreløpige konklusjon er at ...

Les artikkelen
Les artikkelen

Adgangen til innleie av arbeidskraft begrenses fra 1. april

Den 1. april 2023 innføres nye regler som har stor betydning for bedrifter som leier inn ansatte. Det mest brukte rettslige grunnlaget for ...

Les artikkelen