Veiledning for vurdering av personvernkonsekvenser (DPIA) fra Artikkel 29-gruppen

Tidligere denne måneden kom Artikkel 29-gruppen med en veiledning for vurderinger av personvernkonsekvenser eller såkalte DPIA (Data Protection Impact Assessments), dvs. risikovurderinger for databehandling. Veiledningen er nyttig, siden den gir ytterligere veiledning for når det skal gjennomføres DPIA.

Artikkel 29-gruppen er en rådgivende arbeidsgruppe innenfor EU bestående bestående av representanter for EU-landenes nasjonale datatilsyn som har som hovedoppgave å gi råd og informasjon til Kommisjonen, men kan også utarbeide anbefalinger på eget initiativ. Datatilsynet i Norge deltar i gruppen som observatør uten stemmerett. Artikkel 29-gruppen gir gode veiledninger til hvordan personvernforordningen (GDPR) skal forstås, og datatilsynene i de ulike EU-land (og vårt eget Datatilsyn) følger veiledningene til Artikkel 29-gruppen.

Etter artikkel 35 i GDPR skal det gjennomføres en DPIA dersom det er trolig at en behandling av personopplysninger «vil medføre en høy risiko for fysiske personers rettigheter og friheter». Dette gjelder særlig ved «bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i». Det skal altså ikke gjennomføres DPIA ved all behandling, men kun i spesielle tilfelle, og det spesielt dette veiledningen fra Artikkel 29-gruppen søker å klargjøre.

Merk at den norske oversettelsen av GDPR bruker «trolig», mens i den engelske versjonen benyttes «likely». Sistnevnte peker mot at det skal være en sannsynlighetsovervekt, dvs. en sannsynlighet på mer enn 50 % for at det skal kunne medføre en høy risiko, mens det norske begrepet «trolig» er mer uklar. Om dette blir rettet opp i endelig oversettelse av GDPR til norsk blir å se (høringsnotatet gir ingen veiledning).

Hva anses da for å «medføre en høy risiko for fysiske personers rettigheter og friheter»? Med «rettigheter» i denne sammenheng er det spesielt personvernrettigheter som (selvsagt) er av betydning. Med det mer ulne ordet «friheter» har Artikkel 29-gruppen presisert at det er snakk om friheter etter menneskerettigheter, dvs. ytringsfrihet, bevegelsesfrihet, forbud mot diskriminering, religions- og trosfrihet mv. som da vil vise til det vi i Norge har oppfattet som «ulovfestet personvern» (dvs. personvern som ikke nødvendig følger av, og går lenger enn, lovverket).

DPIA skal etter artikkel 35 gjennomføres når det er:

  • systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning for den fysiske personen eller på lignende måte i betydelig grad påvirker den fysiske personen,
  • behandling i stor skala av særlige kategorier av opplysninger (tidligere kalt sensitive personopplysninger) eller av personopplysninger om straffedommer og straffbare forhold, eller
  • systematisk overvåking i stor skala av et offentlig tilgjengelig område.

Ovennevnte forhold er «skal-tilfellene» (selv om det kan være forhold som omfattes av ovennevnte hvor det ikke er nødvendig med DPIA etter konkrete vurderinger) og gir veiledning for når det skal foretas DPIA. Disse tilfellene vil ofte representere ytterpunktene for når vurderingene skal foretas. Merk også at dette er en liste over eksempler, så det kan være andre forhold som ikke er tatt med i listen.

I tillegg så vil DPIA være spesielt aktuelt når det innføres ny teknologi, som nevnt ovenfor, og da dersom behandlingens art, omfang, formål og sammenhengen den utføres i ved teknologibruken vil medføre en høy risiko som nevnt ovenfor. Derfor vil DPIA måtte vurderes som ved Internt of Things-utvikling, velferdsteknologi, teknologibasert forskning for å nevne noen klare eksempler.

Artikkel 29-gruppen har tatt med en liste med ni kriterier hvor DPIA spesielt bør vurderes dersom behandlingen omfatter ett eller flere av kriteriene (disse omfatter også kriteriene som er spesielt nevnt i forordningens artikkel 35):

  1. Evaluering eller scoring, spesielt knyttet til arbeidsresultater, økonomisk situasjon, helse, personlige preferanser eller interesser, oppførsel og adferd, lokasjon og bevegelser osv.
  2. Automatiserte beslutninger med juridisk eller tilsvarende betydning.
  3. Systematisk overvåking av registrerte.
  4. Spesielle kategorier personopplysninger eller andre sensitive personopplysninger av høy personlig karakter (sistnevnte spesielt knyttet de enkeltes «friheter», men kan også omfatte f.eks. økonomiske og finansielle opplysninger).
  5. Databehandling i stort omfang, som at det er et stort antall registrerte involvert, store mengder data, mange ulike typer data, lang varighet av behandlingen, stor geografisk utbredelse av behandlingen osv.
  6. Kombinering eller sammenføring av datasett.
  7. Personopplysninger vedrørende spesielt sårbare registrerte (som barn, ansatte, psykisk syke, asylsøkere, eldre, pasienter mv.).
  8. Innovativ eller nyskapende bruk av personopplysninger, som f.eks. bruk av biometriske data for tilgangskontroll (som er en spesiell kategori opplysning også), Internet of Things-løsninger, velferdsteknologi osv.
  9. Når behandlingen i seg selv forhindrer eller begrenser de registrertes mulighet til å utøve sine rettigheter etter loven eller avtale, eller bruke tjenester, f.eks. dersom en bank vurderer lånesøknader opp mot et register over betalingsanmerkninger.

Som Artikkel 29-gruppen pleier å gjøre i sine veiledninger, er det også tatt med veldig nyttige eksempler.

Er det trolig at det foreligger en høy risiko som nevnt ovenfor, så skal det foretas en DPIA. Gjennomføres ikke en DPIA (og den kan ikke dokumenteres i ettertid), vil det kunne medføre bøter opp til 10 mill. EUR eller 2 % av årlig, global omsetning siste år (i verste fall). Det er viktig å merke seg at Artikkel 29-gruppen anbefaler at det utføres DPIA uansett dersom det er uklart om DPIA skal utføres, siden dette kan være et nyttig verktøy for behandlingsansvarlig å vurdere om denne overholder regelverket. Merk også at dersom man har vurdert om det skal gjennomføres en DPIA og funnet at det ikke er behov for dette, bør også denne vurderingen være dokumenterbar i ettertid.

En DPIA skal gjennomføres før behandlingen av personopplysninger påbegynnes. For behandling som allerede gjennomføres når GDPR trer i kraft 25. mai 2018, så må det gjennomføres DPIA før dette tidspunktet (med noen unntak). Gjennomføring av DPIA må derfor være en del av et GDPR-prosjekt (se her for mer om gjennomføring av GDPR-prosjekter).

Veiledningen inneholder også noe om hvordan DPIA skal gjennomføres.

Artikkel 29-gruppens anbefaling finnes her: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is «likely to result in a high risk» for the purposes of Regulation 2016/679, wp248rev.01 (pdf).