Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

Transkrypt

1 Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA) PricewaterhouseCoopers Kosovo sh.p.k. Warszawa, wrzesień 2018

2 Agenda? Czym jest ocena skutków dla ochrony danych? Kiedy należy przeprowadzać DPIA????!!! Kryteria DPIA wg. EDPB Metodyka przeprowadzania DPIA Zachęcamy do czynnego udziału i zadawania pytań w trakcie prezentacji DPIA - etapy Dokumentacja k 2

3 Czym jest DPIA? Art. 35 ust. 1 RODO Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności Według osób wytycznych fizycznych, grupy administrator roboczej art. 29 nowe technologie to np.: połączenie przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji technologii rozpoznającej odcisk palca i twarz przetwarzania dla ochrony danych osobowych. Dla podobnych w celu poprawy operacji fizycznej przetwarzania kontroli dostępu. danych wiążących się z podobnym wysokim ryzykiem Wykorzystanie można przeprowadzić nowej technologii pojedynczą zgodnie ze ocenę. stanem wiedzy technicznej może wiązać się z nowymi formami gromadzenia i wykorzystania danych, co może stwarzać ryzyko naruszenia praw Ocena skutków dla ochrony danych (Data Protection i wolności osób Impact fizycznych. Assessment): W istocie osobiste i społeczne skutki wprowadzenia nowej technologii Proces mający opisać przetwarzanie, ocenićmogą niezbędność być znane. i Ocena proporcjonalność skutków dla ochrony przetwarzania oraz pomóc w zarządzaniu wynikającym danych pomoże z przetwarzania administratorowi danych osobowych ryzykiem naruszenia praw lub wolności zrozumieć osób takie fizycznych ryzyko i poprzez je wyeliminować. ocenę Na ryzyka i ustalenie środków mogących mu zaradzić. przykład niektóre aplikacje internetu rzeczy mogą mieć znaczący wpływ na codzienne życie i prywatność osób fizycznych; dlatego wymagane jest przeprowadzenie oceny skutków dla ochrony 3 danych.

4 Obowiązek przeprowadzenia DPIA Ma miejsce systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływa na osobę fizyczną. Ma miejsce przetwarzanie na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Ma miejsce systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. 4

5 Kryteria Pre-PIA wg. EDPB Pre-PIA to badanie mające na celu weryfikację konieczności przeprowadzenia badania DPIA. W przypadku wystąpienia co najmniej dwóch z poniższych kryteriów zalecane jest przeprowadzenia DPIA 1 Ocena lub punktacja, w tym profilowanie i prognozowanie 2 Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku 3 Systematyczne monitorowanie 4 Tak Dane wrażliwe lub dane o wysoce osobistym charakterze 5 Dane przetwarzane na dużą skalę 6 Dopasowanie lub łączenie zbiorów danych 7 Dane osób wymagających szczególnej opieki Tak 8 Innowacyjne wykorzystanie lub stosowanie nowych technologii 9 Przypadek, gdy samo przetwarzanie uniemożliwia osobom, których dane dotyczą, wykonanie prawa lub korzystanie z usługi lub umowy Przeprowadzenie DPIA jest zalecane 5

6 Ocena skutków dla ochrony danych - etapy Prawdopodobieństwo wysokiego ryzyka? [art. 35(1), (3) i (4)] Powiadomienie IODO? [art. 35(2)] Monitoruj wydajność [art. 39(1)(c)] Code of Conduct [art. 35(8)] Opinia osób, których dane dotyczą [art. 35(9)] Tak DPIA nie jest potrzebne Tak Wyjątek? [art. 35(5) i (10]) DPIA [art. 35(7)] Przetwarzanie kontrolowane przez administratora [art. 35(11)] Pozostałe wysokie ryzyka? [art. 36(1)] Tak Wcześniejsze konsultacje Brak wcześniejszych konsultacji 6

7 Ocena skutków dla ochrony danych etapy iteracyjne Opis planowanych operacji przetwarzania Monitorowanie i przegląd Ocena konieczności i proporcjonalności Dokumentacja Przeprowadzanie oceny skutków dla ochrony danych jest procesem ciągłym i wymagającym regularnego monitorowania Środki planowane w celu wykazania zgodności Środki planowane w celu wyeliminowania ryzyka Ocena ryzyka naruszenia praw i wolności 7

8 Metodyka oceny skutków dla ochrony danych Wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych (DPIA) Wytyczne PUODO: Jak stosować podejście oparte na ryzyku? Normy ISO: np. rodzina norm Istniejące metodyki w zakresie zarządzania ryzykiem w organizacji 8

9 Metodyka oceny skutków dla ochrony danych W RODO określono minimalne cechy, jakie powinna posiadać ocena skutków dla ochrony danych (art. 35 ust. 7 oraz motywy 84 i 90), a mianowicie: opis planowanych operacji przetwarzania i celów przetwarzania; ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne; środki planowane w celu: - zaradzenia ryzyku; - wykazania przestrzegania niniejszego rozporządzenia. 9

10 Metodyka oceny skutków dla ochrony danych 1 Inspektor Ochrony Danych 2 Zespół techniczno-informatyczny 3 Zespół prawny 10

11 DPIA - dokumentacja Raport z oceny skutków dla ochrony danych to: Obowiązek administratora ; Narzędzie służące do realizacji zasady rozliczalności (art. 5 ust. 2 RODO) ; Narzędzie służące zarządzaniu ryzykiem i zapewniające kontrolę nad procesami przetwarzania danych ; 11

12 Wybrane rodzaje operacji przetwarzania danych wymagające DPIA wg wykazu Rozbudowane systemy monitoringu przestrzeni publicznej umożliwiające śledzenie osób i pozyskiwanie danych wykraczających poza dane niezbędne do świadczenia usługi Systemy monitoringu pojazdów nawiązujące połączenia z otoczeniem, w tym z innymi pojazdami Ocena stylu życia, odżywiania się, jazdy, sposobu spędzania czasu itp. osób fizycznych w celu np. podwyższenia im ceny składki ubezpieczeniowej, na podstawie tej oceny, nazywana ogólnie optymalizacją składki ubezpieczeniowej W przypadku tych operacji nie jest konieczne Profilowanie pośrednie (ocena osoby na podstawie przynależności do określonej grupy). przeprowadzanie pre-pia Gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym w urządzeniach zintegrowanych z mundurem, kaskiem lub w inny sposób połączonych z osobą pozyskującą dane 6 7 Systemy monitorowania czasu pracy pracowników oraz wykorzystywanychprzez nich narzędzi (poczty elektronicznej, internetu) Stosowanie urządzeń wyposażonych w różnego rodzaju interfejsy (głośnik, mikrofon, kamera) oraz oprogramowanie i system łączności umożliwiające przekazywanie danych poprzez sieci telekomunikacyjne 12

13 Dziękuję za uwagę adw. Gerard Karp Partner PwC Legal szef zespołu TMT&IP oraz ochrony danych osobowych T: E: