Artikkel 35 inneholder elleve punkter, og DPIA er et essensielt verktøy for overholdelse av GDPR.
Som et utgangspunkt er det absolutt nødvendig å utføre DPIA ved systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser, ved behandling av særlige kategorier av personopplysninger i stor skala, og ved systematisk overvåking av offentlig område i stor skala.
Selv om behandlingen medfører risiko for personvern, finnes det visse unntak fra kravet om å gjennomføre en DPIA, f. eks behandling som er nødvendig for nasjonal sikkerhet.
Ved uvisshet om det er nødvendig å gjennomføre en DPIA, er det anbefalt å gjøre det uansett. Både som et nyttig verktøy for at behandlingsansvarlige får visshet om at de overholder personvernforordningen, og for å ha dokumentasjon i tilfelle klage fra de registrerte eller tilsyn fra Datatilsynet.
Overordnet ansvar for utførelsen av en DPIA har den behandlingsansvarlige, men ansvaret (arbeidet) kan delegeres til andre. Sikkerhetsansvarlige og personvernombud kan anbefale at en DPIA gjennomføres, og selv bidra i prosessen. Det bør forvisses om at behandlingen i utgangspunktet er lovlig og oppfyller grunnkrav som følger av øvrige bestemmelser i GDPR.
En DPIA må gjennomføres forut for behandlingen og bør startes så tidlig som mulig. Dette er en kontinuerlig prosess, slik at DPIA skal gjentas ved betydelige endringer i behandlingen, f. eks ved å inkludere nye typer personopplysninger og nye typer beslutninger basert på personopplysninger.
Det er god praksis å definere og dokumentere følgende: roller og ansvarsområder for behandlingen, hvis relevant – hvorfor det skal gjennomføres en behandling i strid med de registrertes synspunkter og interesser, hvis relevant – hvorfor det ikke innhentes synspunkter fra de registrerte.
I en DPIA skal det vurderes om en planlagt behandling kan få uforholdsmessig negative konsekvenser for de(n) registrerte, og om omfanget av behandlingen av personopplysninger kan begrunnes ut i fra behovet for å kunne oppfylle behandlingens formål.
Hvis negative konsekvenser er uforholdsmessig store og omfanget av behandlingen er større enn nødvendig, skal det foreslås hvordan omfanget kan reduseres eller hvordan de negative konsekvensene (risikoen for personvern) på annen måte kan reduseres til et akseptabelt nivå.
Dersom det vurderes at en DPIA er nødvendig, kan man rådføre seg med personvernombud, innhente synspunkter fra de registrerte, og evt. drøfte med Datatilsynet.
En utførelse av DPIA består hovedsakelig av fem (eventuelt seks) trinn:
- Systematisk beskrivelse av den planlagte behandlingen og formålet med behandlingen
- Vurdering av proporsjonalitet, altså om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålene
- Vurdering av restrisiko, dvs. å vurdere risiko for de registrertes rettigheter og friheter
- Forslag om tiltak for å håndtere risikoene og påse at GDPR overholdes
- Ledelsens validering og beslutning
- Forhåndsdrøftelse med Datatilsynet skal skje når risikoen ikke kan reduseres og er høy
Forhold som kan medføre høy risiko for fysiske personers rettigheter og friheter er:
- behandlingens art (f. eks uforutsigbarhet, behandling av særlige kategorier personopplysninger, eller skjevt maktforhold mellom de registrerte og den behandlingsansvarlige)
- behandlingens omfang (volum av data, antall registrerte, lagringstid, geografisk omfang)
- behandlingens formål (kontroll, å ta beslutninger som får betydning for den registrerte, å treffe avgjørelser angående enkeltpersoner basert på systematisk og omfattende analyse av personopplysninger)
- behandlingens sammenheng (forventning om konfidensialitet og privatliv, behandling av personopplysninger fra ulike datasett som er innsamlet for ulike forhold)
Dersom personopplysninger utilsiktet eller ulovlig har blitt tilintetgjort, tapt, endret eller ulovlig spredt, har det iht. Artikkel 4 nr. 12 skjedd et brudd på personopplysningssikkerheten. Altså brudd på KIT-sikkerhetsmålene for personopplysninger.
Ved brudd på personopplysningssikkerheten plikter den behandlingsansvarlige å varsle Datatilsynet uten ugrunnet opphold, og om mulig innen 72 timer. Hvis det går lenger tid enn det, må årsaken til forsinkelsen oppgis i meldingen.