Datatilsynet har utarbeidet en veiledning for hva utløser krav til å gjennomføre vurdering av personvernkonsekvenser (DPIA). Vi har tolket denne veiledningen og utarbeidet en konkret liste over hvilke behandlinger i kommuner som det må utføres DPIA for. Dere kan kontakte oss for å få listen og de vurderinger som ligger bak. Dere kan benytte listen internt, samt gjøre endringer dersom deres vurderinger er ulik vår.
Hvordan utførte vi vurderingen
Vi har utarbeidet en oversikt over alle behandlinger (200) som kommuner må utarbeide protokoller for. Vi kryssjekket denne opp mot Datatilsynets generelle liste. Der vi mener behandlingen utløser DPIA har vi gjort en konkret vurdering ved å studere protokollene og det som faktisk behandles og gjøres i de aktuelle behandlingene. Arbeidet er utført av oss i Personvernappen sammen med Personvernombudene Alf Leinan og Bjørn Nilsen. Vi påstår ikke at vi har den eneste rette vurderingen, men vår vurdering er basert på god erfaring og kunnskap og vurdering.
Dere kan få listen med vår vurdering
Kontakt oss for å få tilgang til listen og våre vurderinger. Vi tror listen kan være svært nyttig for dere og deres vurderinger. Se kontaktinformasjon nederst på denne siden.
Hva innebærer det å utføre en DPIA
Når en vurderer personvernkonsekvenser så evalueres risikoen for at «for fysiske personers rettigheter og friheter» ikke ivaretas. (privatliv, kommunikasjonsvern, personvern, ytringsfrihet, religionsfrihet, retten til å organisere seg, retten til ikke å bli diskriminert osv.).
Kravet til hva som skal vurderes og hvordan DPIA skal utføres er ganske omfattende. En skal, blant annet, vurdere
- behandlingens art
- behandlingens omfang
- behandlingens formål
- sammenhengen behandlingen utføres i (kontekst)
Basert på informasjonen man om behandlingen har og risikovurderingen som utføres skal det konkluderes om en kan fortsette behandlingen eller om det iverksettes bøtende tiltak.
Utfør DPIA med Personvernappen og Whatif
I Personvernappen har vi utarbeidet en egen sjekkliste hvor all informasjon om behandlingen fylles inn og dokumenteres. Selve risikovurderingen utføres med Whatif ROS verktøy. Les mer om Whatif her.
Vi har utarbeidet klare-til-bruk Whatif moduler for de fleste typer behandlinger som avkrever DPIA. Rapporten fra Whatif analysen lastes opp i sjekklisten som benyttes i Personvernappen. Med bruk av Personvernappen og Whatif har dere en enkel løsning for gjennomføringen som gir dere nødvendig dokumentasjon. (vurderingen kan likevel være utfordrende).
Whatif kan også benyttes av de som ikke benytter Personvernappen. Ta kontakt for mer informasjon.
---
Kontakt oss for å få tilgang på DPIA listen for kommuner:
Monika Kampen
monika@whatif.as
Tel: 481 93124