template.back.to.overview Personvernkonsekvensvurdering (DPIA)
-
Hvorfor skal det gjøres en personvernkonsekvensvurdering (DPIA)?
En DPIA foretas for å sikre personvernet til den registrerte i en teknisk løsning, ved en behandling/arbeidsprosess eller i et prosjekt. Dette er nødvendig i de tilfeller hvor det er høy risiko for fysiske personers "rettigheter og friheter". Med dette menes blant annet ytringsfrihet, religionsfrihet, retten til likestilling, privatlivets fred, tankefrihet, bevegelsesfrihet, rett til ikke å bli diskriminert og personvern.
-
Skal jeg gjennomføre en DPIA?
Du skal ved ALLE behandlinger vurdere om det bør gjennomføres en DPIA. Personvernombudet kan rådføres i vurderingen av om det bør gjøres en DPIA, men skal ALLTID rådføres i selve gjennomføringen i de tilfeller det er nødvendig.
I forskning hjelper Personverntjenester (Sikt), som er OsloMets personvernrådgiver i forskning, deg med vurderingen og gjennomføringen. Personvernombudet ved OsloMet rådføres i gjennomføringen også i forskning. DPIA-en arkiveres i Sikt sitt meldingsarkiv.
Til hjelp i vurderingen av om en DPIA skal gjennomføres, se mal for vurderingen av om en DPIA skal gjennomføres (engelsk versjon).
Du kan også få hjelp i vurderingen og i selve gjennomføringen, via
- Datatilsynets veileder (datatilsynet.no)
- Artikkel 29 gruppens retningslinjer (dattilsynet.no) (NO), Artikkel 29 gruppens retningslinjer (ec.europa.eu, på engelsk)
- E-læring i forskning "TA hensyn og gjør en DPIA" (junglemap.com). E-læringen er mest rettet mot forskningsprosjekter, men er også relevant å se på i andre tilfeller.
Er du fortsatt usikker på om du har plikt til å gjennomføre en DPIA? Datatilsynet har nå publisert en liste (datatilsynet.no) over en del aktiviteter som ALLTID vil kreve at det gjennomføres en vurdering av personvernkonsekvenser før behandlingen settes igang. Er du i tvil og mener at ditt tilfelle ligger i en gråsone, gjennomfør en DPIA.
Du kan ta kontakt med personvernkontakten i din enhet for bistand i vurdering og gjennomføring.
Vurderingen av om det skal gjennomføres en DPIA skal arkiveres i P360 (gjelder ikke forskning). At DPIA er vurdert skal registreres i protokoll (Ardoq) av personvernkontakt der saksnummer i P360 føres opp.
-
Mal for gjennomføring av en DPIA
Til bruk for gjennomføringen av en DPIA (ikke forskning),
- se mal for gjennomføring av en DPIA på norsk (.doc).
- se mal for gjennomføring av DPIA på engelsk (.doc).
Til gjennomføringen anbefales du å samle personer du mener har kompetanse og innsikt i hvordan systemet/behandlingen/arbeidsprosessen foregår og hvordan den kan påvirke personvernet til de registrerte (ansatte, studenter, pasienter, forskningsdeltakere m.fl.).
Husk å involvere personvernombudet i gjennomføringen, fortrinnsvis sende utkast til gjennomlesning. Ved behov kan personvernombudet også kalles inn til et møte.
Den gjennomførte DPIA-en skal arkiveres i P360 (gjelder ikke forskning). At DPIA er gjennomført skal registreres i protokoll (Ardoq) av personvernkontakt der saksnummer i P360 føres opp.