Personvernkonsekvenser og rettigheter
Personvernkonsekvenser
For alminnelig autentisering med eID er det et nokså begrensede sett av personopplysninger som behandles, se undertittelen "Hvilke personopplysninger behandles og hvorfor?" på siden Hva arbeidstaker må vite om personvern.
Det påhviler behandlingsansvarlig likevel en plikt til å kartlegge den konkrete persondatabehandlingen som gjennomføres og om det foreligger noen relevant risiko. Dette følger blant annet av GDPR artikkel 32 som er forordningens sentrale bestemmelse om informasjonssikkerhet. I den sammenheng er det naturlig og samtidig vurdere eventuelle personvernulemper.
Enkelte relevante risikofaktorer kan være:
- At eID-en (mis)brukes av andre som har eller får tilgang til samme enhet som den ansatte,
- Tap av utstyr. Risikoen kan normalt begrenses ved at det kreves en kode for at utstyret kan tas i bruk for autentisering.
- Det vises til redegjørelsen for tilleggsrisiko ellers på siden Risiko og ansvarsfordeling.
- Videre bør det vurderes om det foreligger konkrete risikofaktorer eller personvernulemper i det enkelte arbeidsforhold.
For spørsmålet om det kreves en Data Protection Impact Assesment (DPIA) er vurderingstemaet om behandlingen utgjør en «høy risiko for fysiske personers rettigheter og plikter», jf. GDPR art. 35 nr. 1. I den vurderingen må det også sees hen til hvilke personopplysninger som behandles, jf. vurderingen ellers i denne delen. Forutsatt alminnelig aktsom bruk av eID-en, vil det i forbindelse med autentiseringen normalt ikke foreligge risikofylt persondatabehandling for individet i slik grad at kravet til DPIA utløses.
Andre rettigheter etter GDPR
Personvernforordningen gir den registrerte en del rettigheter knyttet til den behandlingen av personopplysninger som foretas. Det er viktig at den behandlingsansvarlige sørger for at de er i stand til å ivareta de registrertes rettigheter. Dette kan gjøres ved at den behandlingsansvarlige har retningslinjer for hvordan organisasjonen håndterer de registrertes forespørsler samt de frister mv. som gjelder ved oppfyllelse av rettighetene. En detaljert beskrivelse av den registrertes rettigheter i forbindelse med behandling av personopplysninger kan leses på Datatilsynet sine nettsider.