Personvernkonsekvensvurdering (DPIA)

Formål: En personvernkonsekvensvurdering (DPIA) har som formål å beskrive behandlingen av personopplysninger og vurdere om den er nødvendig og proporsjonal. Den skal også bidra til å håndtere de risikoene behandlingen medfører for enkeltpersoners rettigheter og friheter ved å vurdere dem og fastlegge risikoreduserende tiltak. En DPIA er et viktig verktøy for ansvarlighet, ettersom det ikke bare hjelper den dataansvarlige med å sikre samsvar med kravene i personvernforordningen, men også med å dokumentere at det er gjort tilstrekkelige tiltak for å sikre at regelverket overholdes. En DPIA skal bidra til å skape og påvise etterlevelse.

Dersom det er sannsynlig at en type databehandling vil medføre høy risiko for fysiske personers rettigheter og friheter, skal den dataansvarlige før databehandlingen foreta en vurdering av hvilke konsekvenser databehandlingen kan ha for personvernet. Før det gjennomføres en DPIA skal denne risikoen vurderes. Dersom risikoen vurderes som høy, skal det gjøres en DPIA.

Dette innebærer for eksempel at de fleste prosjekter innen kunstig intelligens vil måtte gjennomføre en DPIA.

DPIA skal gjøres før behandling av personopplysninger starter og skal som et minimum inneholde:

en systematisk beskrivelse av behandlingsaktivitetene

beskrivelse av formålet med behandlingen

vurdering om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålet

vurdering av risikoene for personvernet til den registrerte

planlagte risikoreduserende tiltak for personvernet

Personvernkonsekvensvurderingen skal gjennomføres av den/de som har det daglige ansvaret for behandlingen av personopplysninger (prosjektleder, forsker, e.l.)

Det anbefales at gjennomføringen baseres på mal og veileder fra Direktoratet for e-helse.

DPIA skal leveres til ansvarlig institusjons personvernombud.

Personvernombudet skal gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den i henhold til personvernforordningen artikkel 35, herunder vurdere og gi sin anbefaling om hvorvidt risikoen er akseptabel for behandlingen.

Virksomhetens ledelse skal godkjenne resultatet av personvernkonsekvensvurdering.

Personvernteamet (PVO-teamet) kan gi råd om gjennomføringen av DPIA før og underveis i prosessen. De bidrar gjerne ved behov for møter og andre tilbakemeldinger. PVO-teamet kan kontaktes på epost via personvernombudet@unn.no.

Når DPIAen er ferdigstilt vil PVO-teamet på UNN gjennomgå DPIAen og gi eventuelt tilbakemeldinger til prosjektleder eller sette forutsetninger i anbefalingen. Deretter sendes den til personvernombudet som gjennomgår den og eventuelt anbefaler/tilrår behandlingen og signerer før den sendes til ledelsen (senterleder ved Forsknings- og utdanningssenteret) for godkjenning.

For forskningsprosjekter som trenger å gjennomføre en DPIA kan Personverntjenester i Sikt bistå med utarbeidelsen av disse vurderingene.

Når forslag til DPIA er utarbeidet sendes det til Avdeling for forskning, utdanning og formidling (FUF).

UiT har en egen DPIA-gruppe, hvor også personvernombudet inngår. FUF leder denne. Gruppen tar en vurdering av DPIAen og kommer med en anbefaling til administrasjonsdirektør om DPIAen skal godkjennes eller ikke, alternativt med forbehold. Gruppa kan også sende spørsmål eller sågar hele DPIAen tilbake til f.eks prosjektet dersom det er mangler som gjør at en anbefaling ikke kan gis på nåværende tidspunkt.

Mer informasjon om DPIA ved UiT

Som inspirasjon og veiledning, er det mulig å kontakte personvernombudet ved UNN for å se eksempler på noen gjennomførte DPIAer ved UNN. Det påpekes imidlertid at alle prosjekter skal gjøre individuelle vurderinger av personvernkonsekvenser. En DPIA som skrives som copy-paste vil bli avvist.

Personvernkonsekvensvurdering (DPIA)

Vurdering av om DPIA skal gjennomføres

Gjennomføring av DPIA

Godkjenning av DPIA

Intern saksgang ved UNN

Intern saksgang ved UiT

Eksempler på gjennomførte DPIAer