Personvernkonsekvensvurdering - Ansatt

Personvernkonsekvensvurdering (DPIA)

Når du skal sette i gang med å behandle andres personopplysninger har du ansvar for å vurdere om det innebærer en personvernulempe for de personene opplysningene handler om. Du må derfor vurdere om det skal foretas en personvernkonsekvensvurdering (DPIA) ved all behandling av personopplysninger. Her får du vite litt mer om prosessen og aktuelle skjema for vurderingen og mal for gjennomføring.

Publisert 18.01.2022

Sist oppdatert 29.05.2024

Hvorfor skal det gjøres en personvernkonsekvensvurdering (DPIA)?

En DPIA foretas for å sikre personvernet til den registrerte i en teknisk løsning, ved en behandling/arbeidsprosess eller i et prosjekt. Dette er nødvendig i de tilfeller hvor det er høy risiko for fysiske personers "rettigheter og friheter". Med dette menes blant annet ytringsfrihet, religionsfrihet, retten til likestilling, privatlivets fred, tankefrihet, bevegelsesfrihet, rett til ikke å bli diskriminert og personvern.

Skal jeg gjennomføre en DPIA?

Du skal ved ALLE behandlinger vurdere om det bør gjennomføres en DPIA. Personvernombudet kan rådføres i vurderingen av om det bør gjøres en DPIA, men skal ALLTID rådføres i selve gjennomføringen i de tilfeller det er nødvendig.

I forskning hjelper Personverntjenester (Sikt), som er OsloMets personvernrådgiver i forskning, deg med vurderingen og gjennomføringen. Personvernombudet ved OsloMet rådføres i gjennomføringen også i forskning. DPIA-en arkiveres i Sikt sitt meldingsarkiv.

Til hjelp i vurderingen av om en DPIA skal gjennomføres, se mal for vurderingen av om en DPIA skal gjennomføres (engelsk versjon).

Du kan også få hjelp i vurderingen og i selve gjennomføringen, via

Datatilsynets veileder (datatilsynet.no)
Artikkel 29 gruppens retningslinjer (dattilsynet.no) (NO), Artikkel 29 gruppens retningslinjer (ec.europa.eu, på engelsk)
E-læring i forskning "TA hensyn og gjør en DPIA" (junglemap.com). E-læringen er mest rettet mot forskningsprosjekter, men er også relevant å se på i andre tilfeller.

Er du fortsatt usikker på om du har plikt til å gjennomføre en DPIA? Datatilsynet har nå publisert en liste (datatilsynet.no) over en del aktiviteter som ALLTID vil kreve at det gjennomføres en vurdering av personvernkonsekvenser før behandlingen settes igang. Er du i tvil og mener at ditt tilfelle ligger i en gråsone, gjennomfør en DPIA.

Du kan ta kontakt med personvernkontakten i din enhet for bistand i vurdering og gjennomføring.

Vurderingen av om det skal gjennomføres en DPIA skal arkiveres i P360 (gjelder ikke forskning). At DPIA er vurdert skal registreres i protokoll (Ardoq) av personvernkontakt der saksnummer i P360 føres opp.

Mal for gjennomføring av en DPIA

Til bruk for gjennomføringen av en DPIA (ikke forskning),

Til gjennomføringen anbefales du å samle personer du mener har kompetanse og innsikt i hvordan systemet/behandlingen/arbeidsprosessen foregår og hvordan den kan påvirke personvernet til de registrerte (ansatte, studenter, pasienter, forskningsdeltakere m.fl.).

Husk å involvere personvernombudet i gjennomføringen, fortrinnsvis sende utkast til gjennomlesning. Ved behov kan personvernombudet også kalles inn til et møte.

Den gjennomførte DPIA-en skal arkiveres i P360 (gjelder ikke forskning). At DPIA er gjennomført skal registreres i protokoll (Ardoq) av personvernkontakt der saksnummer i P360 føres opp.