Virksomhetens vurdering av personvernkonsekvenser


De nye personvernreglene fra 25 mai 2018 stiller krav til at virksomheter skal utarbeide en vurdering av personvernkonsekvenser for den løsningen virksomheten oppbevarer personopplysninger på. Det er altså den behandlingsansvarlige som har ansvaret for vurderingen. Dersom virksomheten har personvernombud (enten ved plikt eller frivillig) må ombudet involveres i vurderingen. Oppgaven kan imidlertid delegeres til andre.

Dette skal inngå som en integrert del i alle IT-prosjekter. Dessuten skal utviklingen av IT-løsninger ta hensyn til personvern i sitt design. Det betyr blant annet at IT-løsningen skal gjøre det enkelt å kunne overføre individers data (det som er lagret om en person) til en annen tjenesteleverandør dersom personen ber om det. Det betyr også at det skal gjennomføres en risikovurdering for å vurdere hvordan personvernet til de registrerte (individer) er ivaretatt i løsningen. Dette omfatter blant annet CRM system, HR system og systemer som benyttes til markedsføring og salg.

En vurdering av personvernkonsekvenser kreves særlig i tilfeller hvor:

  • det er automatiserte avgjørelser basert på systematisk og omfattende vurderinger av personlige forhold;

  • det er behandling i stort omfang av sensitive personopplysninger, eller personopplysninger relatert til lovbrudd; eller

  • det er systematisk overvåking av et offentlig område i stort omfang.

Listen er ikke uttømmende. Ifølge Datatilsynet vil de senere offentliggjøre en liste over hvilke typer behandlingsaktiviteter som krever en vurdering av personvernkonsekvenser.

Datatilsynet har utarbeidet en veileder ved vurdering av personvernkonsekvenser etter nytt regelverk.