Vurdering av personvernkonsekvenser (Data Protection Impact Assessments – DPIA)

Slik hjelper Microsoft kontrollere å fullføre en DPIA for EUs personvernforordning (GDPR).

Støttedokumentasjon om vurdering av personvernkonsekvenser

Office 365

Dynamics 365

Microsoft Professional Services


Vanlige spørsmål om vurdering av personvernkonsekvenser

Nedenfor ser du viktige spørsmål og svar om hva EUs personvernforordning (GDPR) krever.

|

Under EUs personvernforordning (GDPR) kreves det at du påtar deg å gjøre DPIA-er i forkant av databehandling som sannsynligvis vil resultere i høy risiko for rettighetene og frihetene til enkeltpersoner, særlig når behandlingen gjøres ved hjelp av nye teknologier. EUs personvernforordning (GDPR) tilbyr følgende ikke-uttømmende liste over tilfeller der DPIA-er må utføres:

  • Automatisert behandling med profilering som formål, og lignende aktiviteter som har juridisk effekt eller påvirker dataemner betydelig.
  • Behandling i stor skala av spesielle kategorier av personlige data, som avslører rasemessig eller etnisk opprinnelse, politisk oppfatning eller lignende, eller av data relatert til lovbrudd eller dommer for kriminalitet.
  • Systematisk overvåkning av et offentlig tilgjengelig område i stor skala.

EUs personvernforordning (GDPR) krever også at du må kontakte din databeskyttelsesmyndighet (DPA)før du starter en behandling, hvis du ikke kan identifisere tilstrekkelige begrensninger for å minimalisere høy risiko for dataemner.

Microsoft praktiserer personvern etter utforming og personvern etter standard i ingeniør- og forretningsfunksjonene. Som en del av denne innsatsen utfører Microsoft omfattende gjennomganger av personvern i databehandlingsoperasjoner som har potensiale til å forårsake påvirkning på rettighetene og frihetene til dataemner. Personvernteam som er innebygd i tjenestegruppene gjennomgår utforming og implementering av tjenester for å sikre at personlige data blir behandlet på en respektfull måte, som er i samsvar med internasjonale lover, brukerforventninger og våre uttrykkelige forpliktelser. Disse gjennomgangene av personvern har en tendens til å bli svært detaljerte, en bestemt tjeneste kan motta dusinvis eller hundrevis av gjennomganger. Microsoft samler opp disse detaljerte personverngjennomgangene i vurderinger av personvernkonsekvenser (DPIA-er) som dekker store grupperinger av behandling, og som databeskyttelsesansvarlig (DPO) for Microsoft i Europa deretter går gjennom. Databeskyttelsesansvarlig vurderer risikoene relatert til databehandlingen for å sikre at tilstrekkelige reduksjoner er på plass. Hvis databeskyttelsesansvarlig finner ikke-reduserte risikoer, vil vedkommende anbefale endringer til ingeniørgruppen. DPIA-er vil bli gjennomgått og oppdatert når databeskyttelsesrisikoen endrer seg.

Microsoft, som prosessor, har plikt til å hjelpe kontrollere med å sikre at de er i samsvar med kravene til DPIA som er lagt frem i EUs personvernforordning (GDPR).

 

For å støtte våre kunder, er relevante seksjoner av Microsofts DPIA-er abstraherte og vil tilbys via denne seksjonen i fremtidige oppdateringer, med den hensikt å gjøre det mulig for kontrollere som stoler på Microsoft-tjenester å utnytte abstraktene til å opprette sine egne DPIA-er.