DPIA-veileder

Må dere gjennomføre en DPIA?

En personvernkonsekvensvurdering (DPIA) er et prosess for å identifisere og minimere personvernrisikoer i et prosjekt eller en behandling av personopplysninger. Det er pålagt etter artikkel 35 av GDPR å gjennomføre slike vurderinger, etter visse kriterier. Verktøyet under vil gi deg et svar på om du mest sannsynlig må gjennomføre en DPIA, basert på lovteksten og omkringliggende veiledning.

Neste steg

Avklar DPIA-plikt før prosjektet låser seg

Bruk veilederen tidlig, dokumenter vurderingen, og gå videre til en full DPIA dersom behandlingen kan gi høy risiko.

1 Svar på DPIA-spørsmål Få et strukturert grunnlag for om prosjektet trenger DPIA. 2 Dokumenter konklusjonen Bruk vurderingen som sporbar beslutning i prosjekt og protokoll. 3 Gjennomfør DPIA riktig Få hjelp med metode, risikovurdering, tiltak og beslutningsgrunnlag.

Start DPIA-veilederen Les DPIA-eksempel

1 Påbudt DPIA?

2 Behandlingens art

3 Omfang

4 Formål

5 Konklusjon

Steg 1: Obligatorisk DPIA

Er behandlingen på Datatilsynets liste over aktiviteter som krever DPIA?

Aktiviteter som krever DPIA:

Les mer på: Datatilsynets nettsider — dokument med oversikt over aktiviteter som alltid krever DPIA

Steg 2: Behandlingens art

Systematisk behandling (planlagt, organisert datainnsamling) Betydelig maktubalanse mellom behandlingsansvarlig og den registrerte Behandling av sensitive personopplysninger (art. 9 eller 10) Ny teknologi eller ny bruk av eksisterende teknologi

Referanse: GDPR Art. 35(3)(a) og WP29s retningslinjer om DPIA

Steg 3: Omfang og kontekst

Stor skala (mange registrerte, stort datavolum, lang lagringstid) Internasjonal eller global rekkevidde Klar forventning om konfidensialitet Data om barn eller andre sårbare grupper

Referanse: GDPR Art. 35(3) om storskala eller inngripende behandling.