En personvernkonsekvensvurdering (DPIA) er et prosess for å identifisere og minimere personvernrisikoer i et prosjekt eller en behandling av personopplysninger. Det er pålagt etter artikkel 35 av GDPR å gjennomføre slike vurderinger, etter visse kriterier. Verktøyet under vil gi deg et svar på om du mest sannsynlig må gjennomføre en DPIA, basert på lovteksten og omkringliggende veiledning.
1Påbudt DPIA?
2Behandlingens art
3Omfang
4Formål
5Konklusjon
Steg 1: Obligatorisk DPIA
Er behandlingen på Datatilsynets liste over aktiviteter som krever DPIA?
Aktiviteter som krever DPIA:
Systematisk og omfattende overvåking i et arbeidsmiljø
Storskala behandling av biometriske opplysninger
Bruk av ny teknologi som kan påvirke mange registrerte
Data innhentet via tredjeparter i kombinasjon med andre kriterier, f.eks. for å avgjøre tilbud av tjenester
Behandling av biometriske data for identifikasjonsformål i stor skala
Behandling av genetiske data i stor skala
Behandling med innovativ teknologi kombinert med sensitive data (f.eks. helseteknologi)
Systematisk overvåking av ansattes aktiviteter (internett, kommunikasjon, kamera)
Behandling av personopplysninger uten samtykke til vitenskapelige formål
Systematisk behandling av stedsdata kombinert med andre data
Vurdering av læring, mestring og trivsel i utdanningsinstitusjoner
Storskala kameraovervåking i offentlige områder
Kameraovervåking i skoler/barnehager i åpningstiden
Storskala behandling av sensitive data for algoritmetrening
Systematisk overvåking av ferdigheter, kompetanse og mental helse
Kommersiell profilering av arbeidsevne, økonomi, helse eller atferd
Storskala innsamling via IoT eller velferdsteknologi