Personvernkonsekvensvurdering (DPIA)
-
Begrunnelse for hvorfor det skal gjøres en DPIA
En personvernkonsekvensvurdering (DPIA) foretas for å sikre personvernet til den registrerte i en teknisk løsning, ved en behandling/arbeidsprosess eller i et prosjekt. Dette er nødvendig i de tilfeller hvor det er høy risiko for fysiske personers "rettigheter og friheter". Med dette menes blant annet ytringsfrihet, religionsfrihet, retten til likestilling, privatlivets fred, tankefrihet, bevegelsesfrihet, rett til ikke å bli diskriminert og personvern.
-
Vurder å gjennomføre en DPIA
Du skal ved ALLE behandlinger vurdere om det bør gjennomføres en DPIA. Personvernombudet kan rådføres i vurderingen av om det bør gjøres en DPIA, men skal ALLTID rådføres i selve gjennomføringen i de tilfeller det er nødvendig.
I forskning hjelper Personverntjenester (Sikt), som er OsloMets personvernrådgiver i forskning, deg med vurderingen og gjennomføringen. Personvernombudet ved OsloMet rådføres i gjennomføringen også i forskning. DPIA-en arkiveres i Sikt sitt meldingsarkiv.
Til hjelp i vurderingen av om en DPIA skal gjennomføres, se mal for vurderingen av om en DPIA skal gjennomføres (engelsk versjon).
Du kan også få hjelp i vurderingen og i selve gjennomføringen, via
- Datatilsynets veileder
- Artikkel 29 gruppens retningslinjer (NO), Artikkel 29 gruppens retningslinjer (EN)
- E-læring i forskning "TA hensyn og gjør en DPIA" som ligger på sikresiden.no.
Er du fortsatt usikker på om du har plikt til å gjennomføre en DPIA? Datatilsynet har nå publisert en liste over en del aktiviteter som ALLTID vil kreve at det gjennomføres en vurdering av personvernkonsekvenser før behandlingen settes igang. Er du i tvil og mener at ditt tilfelle ligger i en gråsone, gjennomfør en DPIA.
Du kan ta kontakt med personvernkontakten i din enhet for bistand i vurdering og gjennomføring.
Både vurderingen av om det skal gjennomføres en DPIA og den gjennomførte DPIA-en skal arkiveres i P360 (gjelder ikke forskning). At DPIA er vurdert, og eventuelt gjennomført, skal registreres i protokoll (Ardoq) av personvernkontakt der saksnummer i P360 føres opp.
-
Mal for gjennomføring av en DPIA
Til bruk for gjennomføringen av en DPIA (ikke forskning),
- se Mal for gjennomføring av en DPIA på norsk (doc).
- se Mal for gjennomføring av DPIA på engelsk (doc).
Til gjennomføringen anbefales du å samle personer du mener har kompetanse og innsikt i hvordan systemet/behandlingen/arbeidsprosessen foregår og hvordan den kan påvirke personvernet til de registrerte (ansatte, studenter, pasienter, forskningsdeltakere m.fl.).
Husk å involvere personvernombudet i gjennomføringen, fortrinnsvis sende utkast til gjennomlesning. Ved behov kan personvernombudet også kalles inn til et møte.
Både vurderingen av om det skal gjennomføres en DPIA og den gjennomførte DPIA-en skal arkiveres i P360 (gjelder ikke forskning). At DPIA er vurdert, og eventuelt gjennomført, skal registreres i protokoll (Ardoq) av personvernkontakt der saksnummer i P360 føres opp.
Se også Ta hensyn - gjør en DPIA (sikresiden.no) som er mest rettet mot forskningsprosjekter, men som også er relevant å se på i andre tilfeller.