Personvernkonsekvensvurdering - Ansatt

Personvernkonsekvensvurdering (DPIA)

Personvernkonsekvensvurdering (DPIA)

Når du skal sette i gang med å behandle andres personopplysninger har du ansvar for å vurdere om det innebærer en personvernulempe for de personene opplysningene handler om. Du må derfor vurdere om det skal foretas en personvernkonsekvensvurdering (DPIA) ved all behandling av personopplysninger. Her får du vite litt mer om prosessen og link til aktuelt skjema for vurderingen og mal for gjennomføringen.
Publisert
Sist oppdatert

  • Begrunnelse for hvorfor det skal gjøres en DPIA

    En personvernkonsekvensvurdering (DPIA) foretas for å sikre personvernet til den registrerte i en teknisk løsning, ved en behandling/arbeidsprosess eller i et prosjekt. Dette er nødvendig i de tilfeller hvor det er høy risiko for fysiske personers "rettigheter og friheter". Med dette menes blant annet ytringsfrihet, religionsfrihet, retten til likestilling, privatlivets fred, tankefrihet, bevegelsesfrihet, rett til ikke å bli diskriminert og personvern.

  • Vurder å gjennomføre en DPIA

    Du skal ved ALLE behandlinger vurdere om det bør gjennomføres en DPIA. Personvernombudet kan rådføres i vurderingen av om det bør gjøres en DPIA, men skal ALLTID rådføres i selve gjennomføringen i de tilfeller det er nødvendig.

    I forskning hjelper Personverntjenester (Sikt), som er OsloMets personvernrådgiver i forskning, deg med vurderingen og gjennomføringen. Personvernombudet ved OsloMet rådføres i gjennomføringen også i forskning. DPIA-en arkiveres i Sikt sitt meldingsarkiv.

    Til hjelp i vurderingen av om en DPIA skal gjennomføres, se mal for vurderingen av om en DPIA skal gjennomføres (engelsk versjon).

    Du kan også få hjelp i vurderingen og i selve gjennomføringen, via 

    Er du fortsatt usikker på om du har plikt til å gjennomføre en DPIA? Datatilsynet har nå publisert en liste over en del aktiviteter som ALLTID vil kreve at det gjennomføres en vurdering av personvernkonsekvenser før behandlingen settes igang. Er du i tvil og mener at ditt tilfelle ligger i en gråsone, gjennomfør en DPIA.

    Du kan ta kontakt med personvernkontakten i din enhet for bistand i vurdering og gjennomføring.

    Både vurderingen av om det skal gjennomføres en DPIA og den gjennomførte DPIA-en skal arkiveres i P360 (gjelder ikke forskning). At DPIA er vurdert, og eventuelt gjennomført, skal registreres i protokoll (Ardoq) av personvernkontakt der saksnummer i P360 føres opp.

  • Mal for gjennomføring av en DPIA

    Til bruk for gjennomføringen av en DPIA (ikke forskning),

    Til gjennomføringen anbefales du å samle personer du mener har kompetanse og innsikt i hvordan systemet/behandlingen/arbeidsprosessen foregår og hvordan den kan påvirke personvernet til de registrerte (ansatte, studenter, pasienter, forskningsdeltakere m.fl.).

    Husk å involvere personvernombudet i gjennomføringen, fortrinnsvis sende utkast til gjennomlesning. Ved behov kan personvernombudet også kalles inn til et møte.

    Både vurderingen av om det skal gjennomføres en DPIA og den gjennomførte DPIA-en skal arkiveres i P360 (gjelder ikke forskning). At DPIA er vurdert, og eventuelt gjennomført, skal registreres i protokoll (Ardoq) av personvernkontakt der saksnummer i P360 føres opp.

    Se også Ta hensyn - gjør en DPIA (sikresiden.no) som er mest rettet mot forskningsprosjekter, men som også er relevant å se på i andre tilfeller.