Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Transkrypt

1 Operacje mogące powodować z dużym prawdopodobieństwem wysokie ryzyko naruszenia praw i wolności osób fizycznych zgodnie z RODO oraz w świetle aktualnych wytycznymi Grupy Roboczej art. 29 ds. Ochrony Danych Radca Prawny Anna Matusiak-Wekiera Kancelaria Radcy Prawnego Anna Matusiak-Wekiera anna.matusiak-wekiera@oirpwarszawa.pl

2 OCENA SKUTKÓW DLA OCHRONY DANYCH art. 35 RODO Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Praw i wolności podmiotów danych: Prawa do prywatności, Wolności wypowiedzi, Swobody przemieszczania się, Zakaz dyskryminacji

3 Art. 24 RODO OCENA SKUTKÓW DLA OCHRONY DANYCH Risk - based approach Obowiązki administratora Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

4 Motyw 84 RODO OCENA SKUTKÓW DLA OCHRONY DANYCH Risk - based approach Aby poprawić przestrzeganie niniejszego rozporządzenia, gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, należy zobowiązać administratora do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z niniejszym rozporządzeniem

5 Motyw 75 ryzyko naruszenia praw i wolności osób fizycznych Ryzyko naruszenia praw i wolności może wynikać z: 1) przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, 2) przetwarzania mogącego poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą, lub społeczną, 3) jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;

6 Motyw 75 ryzyko naruszenia praw i wolności osób fizycznych 4) jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa, 5) jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się w celu tworzenia lub wykorzystywania profili osobistych, 6) jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; 7) jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

7 OCENA SKUTKÓW DLA OCHRONY DANYCH Zgodnie z podejściem opartym na ryzyku, dokonanie oceny skutków dla ochrony danych nie jest wymagane dla każdej operacji przetwarzania, a jedynie tylko wówczas, gdy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Co w przypadkach, w których nie jest możliwe jasne określenie czy przeprowadzenie oceny skutków jest obligatoryjnej? GR. Art. 29 zaleca, aby dokonać oceny skutków ochrony danych.

8 Kiedy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? Z dużym prawdopodobieństwem wysokie ryzyko naruszenia praw lub wolności osób fizycznych może powodować - art. 35 ust. 3 RODO: 1) systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; 2) przetwarzania na dużą skalę szczególnych kategorii danych osobowych danych wrażliwych, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, 3) systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

9 Kiedy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? Lista kryteriów określona przez GR. Art. 29, które należy brać pod uwagę oceniając czy przetwarzanie wiąże się z wysokim ryzkiem: 1) Ewaluacja lub ocena, w tym profilowanie i prognozowanie w szczególności aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą Motyw 71 RODO. 2) Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne lub podobne istotne skutki 3) Systematyczne monitorowanie przetwarzanie w celu obserwowania, monitorowania i kontroli osób, których dane dotyczą, w szczególności systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. 4) Dane wrażliwe przetwarzanie szczególnych kategorii danych, o których mowa w art. 9 RODO oraz te dane, które mogą zwiększać ryzyko naruszenia praw lub wolności osób fizycznych np. dane dotyczące lokalizacji, dane finansowe.

10 Kiedy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? 5) Przetwarzanie danych na dużą skalę liczba osób, których dane dotyczą, zakres przetwarzanych danych, okres przez jaki dane są przechowywane, zakres geograficzny przetwarzania Motyw 91, Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa. 6) Połączenie lub porównanie zestawów danych np. zestawianie lub łączenie danych ze zbiorów zebranych w różnych celach lub przez różnych administratorów. 7) Dane dotyczą osób wymagających szczególnej opieki Motyw 75

11 Kiedy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? 8) Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych Motyw 89, 91 oraz art. 35 ust. 1 RODO wykorzystywanie nowych technologii. 9) Transgraniczne przekazywanie danych poza UE motyw ) Przetwarzanie uniemożliwia osobom, których dane dotyczą wykonywania prawa lub korzystania z usługi lub umowy - art. 22 RODO, Motyw 91.

12 Kiedy trzeba przeprowadzić ocenę przykłady GR. Art. 29 Dane wrażliwe + dane osób wymagających szczególnej opieki = przetwarzanie danych osobowych w szpitalu, Systematyczne monitorowanie + innowacyjne wykorzystanie nowych technologii = automatyczne rozpoznawanie tablic rejestracyjnych połączone z monitoringiem zachowania kierowców, Ocenianie + przetwarzanie danych na dużą skalę = zbieranie publicznych profili w mediach społecznościowych do tworzenia profili w celu skontaktowania się

13 ROLA I ZADANIA DPO a OCENA SKUTKÓW DLA OCHRONY DANYCH Wytyczne dotyczące DPO GR. Art. 29 z dnia r. ADO może konsultować z DPO: - czy przeprowadzić ocenę, - metodologię oceny, - czy dokonać wewnętrzną czy zewnętrzną ocenę, komu zlecić, - stosowanych zabezpieczeń i inne jeżeli ADO nie zgadza się z zaleceniami DPO, dokumentacja oceny skutków dla ochrony danych powinna zawierać pisemne uzasadnienie nieuwzględnienia zaleceń, GR. Art. 29 rekomenduje jasno, aby umowa z DPO, w informacjach przekazywanych pracownikom, kierownikom i innym, wskazywać zakres obowiązków DPO w dane organizacji, w szczególności w zakresie oceny skutków dla ochrony.

14 DZIĘKUJĘ ZA UWAGĘ Kancelaria Radcy Prawnego Anna Matusiak-Wekiera Anna Matusiak-Wekiera jest radcą prawnym, członkiem Komisji Ekspertów do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej powołanej przy GIODO. Audytor wiodący systemu zarządzenia Bezpieczeństwem informacji zgodnie z normą ISO