Personvern - vurdering av personvernkonsekvenser - DPIA

Transkript

1 ID Nfk Versjon 1.03 Gyldig fra Siste versjon Forfatter May Moursund Verifisert Jonny Brodersen Godkjent Stig Olsen Side 1 av 8 Se lenker til relevante rutinebeskrivelser til slutt i dette dokumentet. Se referanser til personvernforordningen (GDPR) til slutt i dette dokumentet. Gjennom personvernforordningen innføres vurdering av personvernkonsekvenser (DPIA = Data Protection Impact Assessment) som en plikt. En vurdering av personvernkonsekvenser er en prosess som skal beskrive behandlingen av personopplysninger, og vurdere om den er nødvendig og proposjonal. Den skal også bidra til å håndtere de risikoer behandlingen medfører for fysiske personers rettigheter og friheter, ved å vurdere dem og fastlegge risikoreduserende tiltak. (Datatilsynets veileder for vurdering av personvernkonsekvenser) En vurdering av personvernkonsekvenser skal bidra til etterlevelse av regelverket, og er et viktig verktøy for den behandlingsansvarlige og virksomheten for å dokumentere at regelverket overholdes. En behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som brukes. I Nfk er det etatslederne som utøver den behandlingsansvarliges daglige ansvar. Hva må gjøres først? En vurdering av personvernkonsekvenser skal gjennomføres før behandlingen. Dette er i samsvar med prinsippene om innebygd personvern og personvern som standardinnstilling. For å sikre at behandling av personopplysninger er lovlig, må man først sjekke om grunnkrav er oppfylt: prinsipper for behandling, behandlingens lovlighet, og behandling av særlige kategorier (sensitive personopplysninger). De registrertes rettigheter må også være innfridd (artiklene i forordningen) se lenker til rutinebeskrivelser om de registrertes rettigheter til slutt i dette dokumentet. Å gjennomføre en vurdering av personvernkonsekvenser reparerer ikke en ulovlig behandling av personopplysninger. Det meste av innholdet i en vurdering av personvernkonsekvenser skal altså være gjort fra før. En konkret vurdering av personvernkonsekvenser gjentar prosessen som allerede skal være gjort, men skal gjennomføres for å finne de ekstra tiltakene som må til for å redusere en høy risiko som man ikke har klart å redusere tidligere. Nødvendige tiltak for å oppfylle de registrertes rettigheter når behandlingen utgjør en særskilt risiko, er tiltak som går utover det som kreves av lovens ordlyd, men som etter en forholdsmessighetsvurdering er nødvendig for å sikre balansen mellom personverninteresser og virksomhetens interesser. Hvordan skal en vurdering av personvernkonsekvenser (DPIA) gjennomføres? Det finnes ulike metoder for å gjennomføre en vurdering av personvernkonsekvenser men de har noen felles kriterier for innhold:

2 Ver.1.03 Side: 2 av 8 en systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen en vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene en vurdering av risikoene for de registrertes rettigheter og friheter de planlagte tiltakene for å håndtere risikoene og for å påvise at forordningen overholdes Ansvarlighet er et viktig personvernprinsipp, så til slutt må man bedømme og evaluere, og eventuelt godkjenne. I denne siste fasen har ledelsen den viktigste rollen. Figur fra Datatilsynet: Lenke til Datatilsynets sjekkliste for hva man bør tenke på i de fire ulike fasene. En DPIA skal håndtere risikoer for rettigheter og friheter gjennom å: fastslå sammenheng sammenhengen behandlingen foretas i; omfang, art, formål, og kildene til risikoen vurdere risikoene vurdere sannsynligheten for at det vil oppstå høy risiko, og i hvilken alvorlighetsgrad håndtere risikoene begrensning av risiko, sikre vern av personopplysningene og påvise overholdelse av regelverket Forordningen gir den behandlingsansvarlige fleksibilitet til å fastsette struktur og form på vurderingen av personvernkonsekvenser, slik at den passer øvrig arbeidsmetodikk og verktøy. Den behandlingsansvarlige bør vurdere å offentliggjøre hele eller deler av vurderingen, for å skape tillit til behandlingen, men dette er ikke et rettslig krav. Når må man gjennomføre en vurdering av personvernkonsekvenser? Personvernforordningens artikkel 35(1) sier: «Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy

3 Ver.1.03 Side: 3 av 8 risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.» Den behandlingsansvarlige skal også «foreta en gjennomgåelse for å vurdere om behandlingen utføres i samsvar med vurderingen av personvernkonsekvenser, i det minste dersom risikoen som behandlingen medføres, endres.» Vurderingen er obligatorisk når behandlingen sannsynligvis vil medføre en høy risiko. Ved usikkerhet om det er nødvendig å gjennomføre en DPIA, anbefales å gjøre det likevel, som et nyttig verktøy for å sikre at behandlingsansvarlig overholder personvernforordningen. Eksempler på når en behandling sannsynligvis vil medføre en høy risiko: behandling i stor skala av særlige kategorier av opplysninger (særlige kategorier = tidligere kalt sensitive opplysninger), eller av personopplysninger om straffedommer eller lovovertredelser en systematisk overvåking i stor skala av et offentlig tilgjengelig område Sikkerhetsrisiko versus personvernkonsekvenser I personvernforordningen stilles det krav til at behandlingsansvarlig skal vurdere risiko for de registrertes rettigheter og friheter. Det skal gjøres en verdivurdering og en trusselvurdering relatert til personopplysningene og de registrertes rettigheter og friheter. I artikkel 32 relateres risikovurderingen til personopplysningssikkerhet for behandlingen skal alltid gjennomføres før alle behandlinger og oppdateres regelmessig og ved endringer skal identifisere områder som kan medføre utilsiktet eller uautorisert (ulovlig) tilgang, endring, sletting, tap eller utlevering av personopplysninger skal skaffe kunnskap om hvilke risiki som eksisterer o er nødvendig for å kunne iverksette tilstrekkelig risikoreduserende tiltak så man kan oppnå et akseptabelt sikkerhetsnivå ved behandlingen I artikkel 35 relateres risikovurderingen til personvernkonsekvenser (DPIA) gjennomføres for behandlingsaktiviteter som sannsynligvis vil medføre en høy risiko for rettigheter og friheter o hensikten er å håndtere en risiko i inngripende behandlinger som medfører økt fare for å krenke fysiske personers rettigheter og friheter. Sikkerhetstiltak vil ikke nødvendigvis redusere denne faren, og behandlingsansvarlig må finne risikoreduserende tiltak ved å endre hvordan behandlingen utføres og hvordan rettighetene ivaretas. I denne vurderingen bør virksomheten ta den registrertes perspektiv ved gjennomføring av DPIA. Den registrertes perspektiv den registrerte = den som personopplysningene handler om I en vurdering av personvernkonsekvenser ønsker man å beskytte de registrertes rettigheter og friheter både etter personvernforordningen, og andre grunnleggende rettigheter som retten til privatliv, kommunikasjonsvern, ytringsfrihet, tankefrihet, bevegelsesfrihet, forbud mot diskriminering, retten til frihet og samvittighets- og religionsfrihet. Figur fra Datatilsynet:

4 Ver.1.03 Side: 4 av 8 Medbestemmelse: innføre tiltak som sikrer innflytelse på hvordan personopplysningene behandles o f eks særskilt spesifisering av samtykke, fornying av samtykke, særskilt tilrettelagt innsynsløsning Åpenhet: tiltak knyttet til informasjon og innsyn o f eks regelmessig informasjon om behandlingen, varsel før overføring av personopplysninger fra et register til et annet, oversikt over hvor opplysninger blir overført, mulighet for dataportabilitet. Forutsigbarhet: tiltak for å gjøre en behandling av personopplysninger mindre kompleks og lettere å forstå. o f eks spesifisering av formålene med behandlingene, klare begrensninger for kobling mellom registre, redusere lagringstid for opplysningene Tillit: medbestemmelse, åpenhet og forutsigbarhet som reelle mål. prosesser og funksjonalitet som reelt sett styrker den registrertes posisjon til å ivareta sine rettigheter og friheter Risiko må vurderes kontinuerlig I overensstemmelse med den risikobaserte metoden i forordningen er det ikke obligatorisk å utføre en vurdering av personvernkonsekvenser for hver behandling. Det er kun krav om å utføre en vurdering av personvernkonsekvenser dersom behandlingen sannsynligvis «vil medføre en høy risiko for fysiske personers rettigheter og friheter.» Den behandlingsansvarlige må likevel kontinuerlig vurdere risikoen som oppstår ved deres behandlingsaktiviteter for å identifisere når en type behandling sannsynligvis vil medføre en høy risiko. Hvordan vurderer man risiko? Hva skal vurderes? For å vurdere risiko, må man finne konsekvenser av at de registrertes rettigheter og friheter ikke blir tilstrekkelig ivaretatt, og sannsynligheten for at dette vil skje. Det som skal vurderes er konsekvensen av og sannsynligheten for at (ikke uttømmende liste!): personopplysninger behandles uten rettslig grunnlag personopplysninger behandles på en ikke rettferdig måte det ikke er tilstrekkelig åpenhet rundt behandlingen av personopplysninger det samles inn mer personopplysninger enn det som er nødvendig for formålet personopplysninger som behandles ikke er korrekte personopplysninger lagres lengre enn det som er nødvendig for formålet

5 Ver.1.03 Side: 5 av 8 den registrerte ikke får tilstrekkelig informasjon til å gjøre et informert valg den registrerte ikke får innsyn i hvilke personopplysninger som er lagret den registrerte ikke får korrigert eller slettet sine personopplysninger det ikke er lagt til rette for dataportabilitet de registrertes rettigheter ikke ivaretas ved profilering behandlingen kan resultere i diskriminering behandlingen begrenser ytringsfrihet og religionsfrihet Konsekvensen av at rettighetene og frihetene ovenfor ikke blir innfridd kan være både fysisk, materiell og ikke-materiell skade f eks (fortalepunkt 75): forskjellsbehandling identitetstyveri eller bedrageri økonomisk tap skade på omdømme tap av fortrolighetnfor taushetsbelagte personopplysninger uautorisert oppheving av pseudonymisering andre økonomiske eller sosiale ulemper Når må man ikke gjennomføre en vurdering av personvernkonsekvenser? dersom behandlingen sannsynligvis ikke «vil medføre en høy risiko» dersom behandlingens art, omfang, sammenheng og formål er veldig lik en behandling det allerede er gjennomført en vurdering av personvernkonsekvenser for. I slike situasjoner kan resultatet fra den foreliggende vurderingen for lignende behandlinger brukes dersom behandlingen er kontrollert av en tilsynsmyndighet før mai 2018 på særskilte betingelser, og at disse ikke har endret seg. (I Norge vil en slik kontroll vanligvis bety at virksomheten har hatt konsesjon) dersom en behandling er i samsvar med artikkel 6(1)(c) eller (e) og har et rettsgrunnlag etter EU-retten eller nasjonal lovgiving, der tilhørende lovgivning regulerer den spesifikke behandlingen og en vurdering av personvernkonsekvenser allerede er gjennomført som ledd i utarbeidelse av rettsgrunnlaget unntatt hvis medlemsstaten har bestemt at det er nødvendig å gjennomføre en vurdering av personvernkonsekvenser forut for behandlingen Vurderingen av personvernkonsekvenser skal være en kontinuerlig prosess, spesielt når behandlingen er dynamisk og endres løpende. Hvem har ansvaret? Hvem skal gjennomføre vurderingen? Den behandlingsansvarlige har ansvaret. I Nfk er etatsleder definert som behandlingsansvarlig. Den behandlingsansvarlige er ansvarlig for å sikre at vurdering av personvernkonvekvenser gjennomføres. Vurderingen kan gjennomføres av andre, men det er den behandlingsansvarlige som har det øverste ansvaret for denne oppgaven. Den behandlingsansvarlige skal:

6 Ver.1.03 Side: 6 av 8 «. gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.» I tillegg skal relevante personer kobles på prosessen: den behandlingsansvarlige må rådføre seg med personvernombudet. Personvernombudets råd sammen med beslutningene den behandlingsansvarlige tar, bør dokumenteres i vurderingen. Personvernombudet skal også kontrollere gjennomføringen av en DPIA. dersom behandlingen helt eller delvis gjennomføres av en databehandler, bør databehandleren bistå den behandlingsansvarlige i gjennomføringen av en DPIA og framlegge all nødvendig informasjon. I databehandleravtalen bør det stå at databehandler skal bistå i vurderingen av personvernkonsekvensene. den behandlingsansvarlige skal videre dersom det er relevant, innhente synspunkter på den planlagte behandlingen fra de registrerte eller deres representanter. Denne involveringen anbefales av Datatilsynet. o synspunkter kan innhentes på ulike måter, f eks spørsmål til medarbeiderrepresentanter, spørreskjema el.l. o dersom behandlingsansvarligs endelige beslutning skiller seg fra de registrertes synspunkter, skal begrunnelsen fra den behandlingsansvarlige for å fortsette eller ikke, dokumenteres o den behandlingsansvarlige skal også dokumentere begrunnelse for å ikke innehente synspunkter fra de registrerte f eks hvis dette kan avsløre forretningssensitiv informasjon eller det vil være uforholdsmessig eller umulig spesifikke avdelinger bør bidra med informasjon og være involvert i evalueringsprosessen dersom de foreslår at det gjennomføres en vurdering av personvernkonsekvenser det anbefales også å innhente synspunkter fra uavhengige eksperter fra ulike yrkesgrupper (jus, sikkerhet, IT, etikkspesialister mv) når det er aktuelt den ansvarlige for informasjonssikkerheten, samt personvernombudet, kan foreslå at den behandlingsansvarlige skal gjennomføre en vurdering av personvernkonsekvenser for en bestemt behandling. De bør også hjelpe berørte aktører med metodikk, samt hjelpe til å evaluere kvaliteten på risikovurderingen og hvorvidt restrisikoen er akseptabel den ansvarlige for informasjonssikkerheten og/eller IT-avdelingen bør bistå den behandlingsansvarlige Hva annet kan en vurdering av personvernkonsekvenser omfatte? En vurdering av personvernkonsekvenser kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risiki. Det kan også være fornuftig å utvide vurderingen av personvernkonsekvenser til å omfatte mer enn ett prosjekt, f eks dersom offentlige myndigheter eller organer har planer om å innføre en felles applikasjon eller behandlingsplattform, eller dersom flere behandlingsansvarlige planlegger å innføre en felles applikasjon. En enkelt vurdering av personvernkonsekvenser kan brukes til å vurdere flere behandlinger som ligner på hverandre med hensyn til art, omfang, sammenheng, formål og risiko. Vurderingen kan altså gjenbrukes til lignende behandlinger. Formålet med en slik vurdering er å sikre en systematisk undersøkelse av nye situasjoner som kan medføre høy risiko for fysiske personers rettigheter og friheter. Det er ikke nødvendig å utføre en vurdering av personvernkonsekvenser i situasjoner (det vil si behandlinger som utføres i en spesifikk sammenheng og for et spesifikt formål) som allerede har vært

7 Ver.1.03 Side: 7 av 8 undersøkt. Dette kan være tilfelle når samme type teknologi benyttes til å samle inn samme type opplysninger til samme formål f eks hvis et lignende kameraovervåkingssystem innføres på flere steder av samme behandlingsansarlige, er det nok å utføre én enkelt vurdering av personvernkonsekvensene. Dersom lignende behandlinger gjennomføres av ulike behandlingsansvarlige (virksomheter), kan samme framgangsmåte benyttes. I slike tilfeller bør man benytte offentlig tilgjengelige referansevurderinger, og det skal begrunnes hvorfor kun én enkelt vurdering er gjennomført. Det kan også være nyttig å vurdere personvernkonsekvenser i forbindelse med utvikling og bruk av et teknisk produkt maskinvare eller programvare som kommer til å bli benyttet av ulike behandlingsansvarlige. Den behandlingsansvarlige som benytter produktet må utføre sin egen vurdering av personvernkonsekvenser med hensyn til den konkrete behandlingen. Men leverandørens vurdering av personvernkonsekvenser kan understøtte denne, dersom relevant. Hva med behandlingsaktiviteter som allerede er satt i gang? Det er ikke et krav å vurdere personvernkonsekvensene for behandlinger som tidligere har blitt kontrollert av Datatilsynet eller personvernombudet, og som ikke har endret seg siden forrige kontroll. Dersom en behandling av personopplysninger gjennomføres på en måte som har endret seg siden den forutgående kontrollen ble gjennomført av tilsynsmyndigheten eller personvernombudet, og som sannsynligvis vil medføre en høy risiko, bør det utføres en vurdering av personvernkonsekvenser. Endringer i risiko - f eks at ny teknologi er tatt i bruk, eller ved at personopplysninger brukes til et annet formål. En revisjon av en DPIA fremmer kontinuerlige forbedringer og opprettholder et høyt beskyttelsesnivå i et miljø som endrer seg over tid. Endringer i organisatoriske eller sosiale sammenhenger f eks nye kategorier av registrerte som følge av behandlingens organisatoriske eller sosiale sammenheng. Når skal det gjennomføres forhåndsdrøftelse med Datatilsynet? Det er nødvendig med en forhåndsdrøftelse når virksomheten har gjennomført en vurdering av personvernkonsekvenser og behandlingen fortsatt medfører høy risiko for de registrertes rettigheter og friheter. Når den behandlingsansvarlige ikke kan finne tilstrekkelige tiltak for å begrense risikoen til et akseptabelt nivå, er det krav om forhåndsdrøftelse med tilsynsmyndigheten. Forhåndsdrøftelser skal meldes inn via Altinn. Referanser til artikler i personvernforordningen: Artikkel 5: Prinsipper for behandling av personopplysninger Artikkel 6: Behandlingens lovlighet Artikkel 9: Behandling av særlige kategorier av personopplysninger Artikkel 10: Behandling av personopplysninger om straffedommer og lovovertredelser Artikkel 12: Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheter Artikkel 13: Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte Artikkel 14: Informasjon som skal gis dersom opplysningene ikke er blitt samlet inn fra den registrerte Artikkel 15: Den registrertes rett til innsyn Artikkel 16: Rett til retting Artikkel 17: Rett til sletting («retten til å bli glemt») Artikkel 18: Rett til begrensning av behandling Artikkel 19: Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling

8 Ver.1.03 Side: 8 av 8 Artikkel 20: Rett til dataportabilitet Artikkel 21: Rett til å protestere Artikkel 22: Automatiserte avgjørelser, herunder profilering Artikkel 24: Den behandlingsansvarliges ansvar generelle forpliktelser Artikkel 25: Innebygd personvern og personvern som standardinnstilling Artikkel 28: Databehandler Artikkel 32: Sikkerhet ved behandlingen Artikkel 35: Vurdering av personvernkonsekvenser Artikkel 39: Personvernombudets oppgaver Punkt 75 i fortalen Punkt 78 i fortalen Punkt 92 i fortalen Punkt 171 i fortalen Interne referanser Personvern - hvilke rettigheter har den registrerte etter ny personopplysningslov - GDPR Personvern hvem har ansvar for hva (kommer) Personvern når og hvordan skal vi varsle Datatilsynet (kommer) Eksterne referanser Vurdering av personvernkonsekvenser - veiledning fra Datatilsynet