Publisert: 13.11.2024
Du plikter å spørre den registrerte om behandlingen når du gjør en DPIA
Når du skal gjøre en personvernkonsekvensvurdering eller en DIPA (Data Protection Impact Assessment), er det et krav i GDPR artikkel 35 nr. 9 at du skal «innhente synspunktene på den planlagte behandlingen fra de registrerte eller den registrertes representanter».
Bestemmelsen understreker at du skal innhente den registrertes mening dersom det er «relevant».
Artikkel 29-gruppen har i sin veileder på DPIA, uttalt følgende:
The controller should also document its justification for not seeking the views of the data subjects, if it decides that this is not appropriate, for example if doing so would compromise the confidentiality of the companies’ business plans, or would de disproportionate or impracticable.
Det betyr at det skal en del til før du kan unnlate å innhente den registrertes mening.
Beskrivelse av metoden
I den nasjonale DPIAen for bruk av Google Workspace for Education har vi innhentet den registrertes mening i form av representanter fra disse organisasjonene:
- Elevorganisasjonen
- Foreldreutvalget for grunnopplæringa (FUG)
- Utdanningsforbundet
Organisasjonene ga oss en liste med navn på medlemmer som var interessert i å la seg intervjue av oss. Vi tok kontakt med hver enkelt og avtalte dato for intervju.
I forkant av intervjuet sendte vi den enkelte en beskrivelse av hvordan personopplysninger behandles i Google Workspace for Education. Denne beskrivelsen tilsvarer i stor grad den systematiske beskrivelsen av behandlingsaktiviteter som gjerne er del 1 i en DPIA. Imidlertid måtte den forenkles slik at det skulle være enkelt for de som ble intervjuet å forstå.
Under intervjuet presenterer vi dette muntlig, og så stilte vi to spørsmål:
- Hvilke personvernbekymringer har du nå som du vet litt mer om hvordan personopplysninger behandles i Google Workspace for Education?
Dette er en litt mer folkelig måte å spørre den registrerte om personvernrisiko:
- Hva ønsker du at vi skal gjøre med det?
Her prøvde vi å få innsikt i om den registrerte hadde forslag til risikoreduserende tiltak som vi kunne implementere.
Etter intervjuene skrev vi referat som den vi hadde intervjuet fikk til verifisering. Så oppsummerte vi alle tilbakemeldingene i en egen rapport.
Deretter brukte vi dem til å guide oss i hvilke risikoscenarioer som skulle bli en del av DPIAen.
Rapportene fra den registrertes mening i Google-DPIAen
Så hva mener egentlig de registrerte om hvordan personopplysninger behandles i Google Workspace for Education?
Rapportene er her:
Elever (pdf)
Lærere (pdf)
Foresatte (pdf)
Opptak fra LinkedIn Live
Se dette opptaket fra LinkedIn Live hvor vi delte våre erfaringer om det å innhente den registrertes mening.
Opptak fra LinkedIn LiveTemaer vi var inne på:
- Hva er de to spørsmålene du kan koke innhenting av den registrertes mening ned til?
- Når i DPIA-prosessen bør du innhente den registrertes mening?
- Hvorfor er dette noe som det i det hele tatt er verdifullt at du gjør ifbm en DPIA?
- Hva er de registrerte egentlig opptatt av? Vi deler våre erfaringer!