Personvern
Veileder fra Datatilsynet om vurdering av personvernkonsekvenser (DPIA)
Ved ikrafttredelsen av ny personvernlovgivning (GDPR) fikk bedriftene større ansvar for personvern. Blant annet stiller GDPR art. 35 krav til at virksomheten i visse tilfeller, må vurdere personvernkonsekvensen ved behandling av personopplysninger før behandlingen igangsettes (data protection impact assessments, DPIA).
En DPIA innebærer en inngående vurdering av personvernkonsekvenser, med en beskrivelse av behandlingsaktivitetene og formålene, en vurdering av nødvendighet, proporsjonalitet og risikoen, og en angivelse av håndtering av risiko. Datatilsynet har nå kommet med en veileder over hvilke behandlingsaktiviteter som krever at virksomheter gjennomfører en DPIA, og ifølge veilederen skal DIPA gjennomføres blant annet i følgende tilfeller:
- Behandling av personopplysninger for systematisk monitorering av ansatte
- Behandling av personopplysninger med innovativ teknologi
- Når det benyttesanalysemodeller for å si noe om forutberegnelighet
- Behandling av personopplysninger for å evaluere læring, mestring og i for eksempel barnehager
- Behandling av lokasjonsdata
Dersom det ikke gjennomføres DPIA for de ovennevnte behandlingsaktivitetene før behandlingen påbegynnes, vil det innebære et brudd på regelverket. Vi anbefaler derfor alle virksomheter å gå gjennom sine behandlingsaktiviteter for å avklare om DPIA må gjennomføres.
Brexit - Overføring av personopplysninger til Storbritannia
Det er for tiden stor usikkerhet rundt spørsmål om Brexit og hvordan det vil skje. Underhuset stemte før helgen ned Brexit-avtalen for tredje gang. EU har gitt Storbritannias frist til 22. mai med å gå ut av EU, dersom Parlamentet blir enige om en brexit-avtale før 12. april. Hvis ikke, må landet ut 12. april. Utfallet av Brexit vil kunne få følger for virksomheter som overfører personopplysninger til og fra Storbritannia.
Dersom det ikke kommer på plass avtale mellom Storbritannia og EU før 12. april 2019, vil Storbritannia ikke lenger være en medlemsstat i EU og regnes som et tredjeland. Dette betyr at overføring av personopplysninger til Storbritannia må skje på basis av overføringsgrunnlagene i kapittel V i personvernforordningen, tilsvarende som overføring til alle andre tredjeland – herunder for eksempel USA.
Vi anbefaler virksomheter som overfører personopplysninger til Storbritannia, å undersøke hvilke overføringsgrunnlag som er aktuelt med hensyn til utfallet av Brexit, og sette i gang forberedelser i tilfeller det ikke blir noen avtale før 12. april.
Publisert
Vær oppdatert på hva som skjer innenfor forretningsjus:
Vi sender ut nyhetsbrev når det skjer noe vi mener det er verdt å få med seg.
Meld deg på vårt nyhetsbrev.
Artiklene blir også lagt ut på vår Linkedin-side og Facebook-side hvis du heller vil følge oss der.