Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA) PricewaterhouseCoopers Kosovo sh.p.k. Warszawa, wrzesień 2018
Agenda? Czym jest ocena skutków dla ochrony danych? Kiedy należy przeprowadzać DPIA????!!! Kryteria DPIA wg. EDPB Metodyka przeprowadzania DPIA Zachęcamy do czynnego udziału i zadawania pytań w trakcie prezentacji DPIA - etapy Dokumentacja k 2
Czym jest DPIA? Art. 35 ust. 1 RODO Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności Według osób wytycznych fizycznych, grupy administrator roboczej art. 29 nowe technologie to np.: połączenie przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji technologii rozpoznającej odcisk palca i twarz przetwarzania dla ochrony danych osobowych. Dla podobnych w celu poprawy operacji fizycznej przetwarzania kontroli dostępu. danych wiążących się z podobnym wysokim ryzykiem Wykorzystanie można przeprowadzić nowej technologii pojedynczą zgodnie ze ocenę. stanem wiedzy technicznej może wiązać się z nowymi formami gromadzenia i wykorzystania danych, co może stwarzać ryzyko naruszenia praw Ocena skutków dla ochrony danych (Data Protection i wolności osób Impact fizycznych. Assessment): W istocie osobiste i społeczne skutki wprowadzenia nowej technologii Proces mający opisać przetwarzanie, ocenićmogą niezbędność być znane. i Ocena proporcjonalność skutków dla ochrony przetwarzania oraz pomóc w zarządzaniu wynikającym danych pomoże z przetwarzania administratorowi danych osobowych ryzykiem naruszenia praw lub wolności zrozumieć osób takie fizycznych ryzyko i poprzez je wyeliminować. ocenę Na ryzyka i ustalenie środków mogących mu zaradzić. przykład niektóre aplikacje internetu rzeczy mogą mieć znaczący wpływ na codzienne życie i prywatność osób fizycznych; dlatego wymagane jest przeprowadzenie oceny skutków dla ochrony 3 danych.
Obowiązek przeprowadzenia DPIA Ma miejsce systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływa na osobę fizyczną. Ma miejsce przetwarzanie na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Ma miejsce systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. 4
Kryteria Pre-PIA wg. EDPB Pre-PIA to badanie mające na celu weryfikację konieczności przeprowadzenia badania DPIA. W przypadku wystąpienia co najmniej dwóch z poniższych kryteriów zalecane jest przeprowadzenia DPIA 1 Ocena lub punktacja, w tym profilowanie i prognozowanie 2 Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku 3 Systematyczne monitorowanie 4 Tak Dane wrażliwe lub dane o wysoce osobistym charakterze 5 Dane przetwarzane na dużą skalę 6 Dopasowanie lub łączenie zbiorów danych 7 Dane osób wymagających szczególnej opieki Tak 8 Innowacyjne wykorzystanie lub stosowanie nowych technologii 9 Przypadek, gdy samo przetwarzanie uniemożliwia osobom, których dane dotyczą, wykonanie prawa lub korzystanie z usługi lub umowy Przeprowadzenie DPIA jest zalecane 5
Ocena skutków dla ochrony danych - etapy Prawdopodobieństwo wysokiego ryzyka? [art. 35(1), (3) i (4)] Powiadomienie IODO? [art. 35(2)] Monitoruj wydajność [art. 39(1)(c)] Code of Conduct [art. 35(8)] Opinia osób, których dane dotyczą [art. 35(9)] Tak DPIA nie jest potrzebne Tak Wyjątek? [art. 35(5) i (10]) DPIA [art. 35(7)] Przetwarzanie kontrolowane przez administratora [art. 35(11)] Pozostałe wysokie ryzyka? [art. 36(1)] Tak Wcześniejsze konsultacje Brak wcześniejszych konsultacji 6
Ocena skutków dla ochrony danych etapy iteracyjne Opis planowanych operacji przetwarzania Monitorowanie i przegląd Ocena konieczności i proporcjonalności Dokumentacja Przeprowadzanie oceny skutków dla ochrony danych jest procesem ciągłym i wymagającym regularnego monitorowania Środki planowane w celu wykazania zgodności Środki planowane w celu wyeliminowania ryzyka Ocena ryzyka naruszenia praw i wolności 7
Metodyka oceny skutków dla ochrony danych Wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych (DPIA) Wytyczne PUODO: Jak stosować podejście oparte na ryzyku? Normy ISO: np. rodzina norm 27000 Istniejące metodyki w zakresie zarządzania ryzykiem w organizacji 8
Metodyka oceny skutków dla ochrony danych W RODO określono minimalne cechy, jakie powinna posiadać ocena skutków dla ochrony danych (art. 35 ust. 7 oraz motywy 84 i 90), a mianowicie: opis planowanych operacji przetwarzania i celów przetwarzania; ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne; środki planowane w celu: - zaradzenia ryzyku; - wykazania przestrzegania niniejszego rozporządzenia. 9
Metodyka oceny skutków dla ochrony danych 1 Inspektor Ochrony Danych 2 Zespół techniczno-informatyczny 3 Zespół prawny 10
DPIA - dokumentacja Raport z oceny skutków dla ochrony danych to: Obowiązek administratora ; Narzędzie służące do realizacji zasady rozliczalności (art. 5 ust. 2 RODO) ; Narzędzie służące zarządzaniu ryzykiem i zapewniające kontrolę nad procesami przetwarzania danych ; 11
Wybrane rodzaje operacji przetwarzania danych wymagające DPIA wg wykazu 1 2 3 4 5 Rozbudowane systemy monitoringu przestrzeni publicznej umożliwiające śledzenie osób i pozyskiwanie danych wykraczających poza dane niezbędne do świadczenia usługi Systemy monitoringu pojazdów nawiązujące połączenia z otoczeniem, w tym z innymi pojazdami Ocena stylu życia, odżywiania się, jazdy, sposobu spędzania czasu itp. osób fizycznych w celu np. podwyższenia im ceny składki ubezpieczeniowej, na podstawie tej oceny, nazywana ogólnie optymalizacją składki ubezpieczeniowej W przypadku tych operacji nie jest konieczne Profilowanie pośrednie (ocena osoby na podstawie przynależności do określonej grupy). przeprowadzanie pre-pia Gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym w urządzeniach zintegrowanych z mundurem, kaskiem lub w inny sposób połączonych z osobą pozyskującą dane 6 7 Systemy monitorowania czasu pracy pracowników oraz wykorzystywanychprzez nich narzędzi (poczty elektronicznej, internetu) Stosowanie urządzeń wyposażonych w różnego rodzaju interfejsy (głośnik, mikrofon, kamera) oraz oprogramowanie i system łączności umożliwiające przekazywanie danych poprzez sieci telekomunikacyjne 12
Dziękuję za uwagę adw. Gerard Karp Partner PwC Legal szef zespołu TMT&IP oraz ochrony danych osobowych T: +502 184 707 E: gerard.karp@pwc.com