DPIA REVISJONSRAPPORT

En DPIA (Data Protection Impact Assessment) er en lovpålagt prosess etter GDPR artikkel 35. Formålet er å identifisere, vurdere og minimere risiko for de registrertes rettigheter og friheter før en ny databehandling starter. Verktøyet sikrer dokumentert etterlevelse av virksomhetens ansvarlighetsprinsipp.

Plikten til å utføre en DPIA inntrer når en planlagt behandling av personopplysninger sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter. Basert på retningslinjer fra Det europeiske personvernrådet (EDPB) og Datatilsynet, er hovedregelen at du må gjennomføre en DPIA dersom behandlingen oppfyller to eller flere av følgende kriterier:

1. Omfattende profilering og evaluering: Når du analyserer eller forutsier menneskers arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser eller bevegelser (f.eks. kredittsjekk eller markedssegmentering).
2. Automatisert beslutningstaking med rettsvirkning: Behandling som fører til at enkeltpersoner blir ekskludert eller diskriminert uten menneskelig innblanding.
3. Systematisk overvåking: All form for observasjon av personer på offentlige steder, inkludert kameraovervåking eller sporing via digitale nettverk.
4. Behandling av sensitive data: Dette inkluderer helseopplysninger, genetiske data, biometri, samt data om politisk overbevisning, religion eller seksuell orientering.
5. Data om sårbare grupper: Når det er et ubalansert maktforhold mellom den registrerte og behandlingsansvarlig, som for eksempel i forholdet mellom ansatt og arbeidsgiver, eller ved behandling av barns opplysninger.
6. Sammenstilling av datasett: Når data fra ulike kilder kobles sammen på en måte den registrerte ikke med rimelighet kunne forvente.
7. Bruk av ny teknologi eller innovative løsninger: Bruk av tingenes internett (IoT), ansiktsgjenkjenning eller andre verktøy der personvernkonsekvensene ennå ikke er allment kjent.
8. Behandling i stort omfang: Når aktiviteten involverer et stort antall mennesker, store datamengder eller dekker et vidt geografisk område.

Selv om bare ett kriterium er oppfylt, kan en DPIA likevel være påkrevd dersom behandlingen har et stort skadepotensial. Ved tvil anbefaler premissleverandørene at utredningen alltid gjennomføres for å sikre juridisk trygghet.

Dette er en kjerneplikt i GDPR. Du må dokumentere at behandlingen er nødvendig for å nå formålet, og at det ikke finnes mindre inngripende metoder. Hvis målet kan nås uten å samle inn sensitive data, er behandlingen ulovlig uavhengig av sikkerhetstiltak.

Overføring til land utenfor EU/EØS medfører økt risiko for de registrertes personvern. Verktøyet flagger dette fordi det krever etablering av overføringsgrunnlag, som EU-kommisjonens standardavtaler (SCCs), og ofte en Transfer Impact Assessment (TIA) i tråd med Schrems II-dommen.

Dersom din DPIA viser en vedvarende høy restrisiko som ikke kan elimineres med tiltak, plikter virksomheten å rådføre seg med Datatilsynet før oppstart. Tilsynet har da inntil 8 uker (kan utvides) på å gi en skriftlig uttalelse. Verktøyet varsler automatisk når denne terskelen er nådd.

For å være revisjonssikker må rapporten inneholde en systematisk beskrivelse, vurdering av nødvendighet, risikokartlegging (iboende og restrisiko), samt bekreftelse på involvering av personvernombud eller tillitsvalgte. Rapporten fra dette verktøyet dekker samtlige av disse punktene.