Data protection impact assessment

Transkript

1 Data protection impact assessment

2 Data protection impact assessment DPIA Den dataansvarlige skal gennemføres en DPIA under forudsætning af: Anvendelse af nye teknologier Betydeligt omfang, formålets karakter, m.v. Høje risici for datasubjekterne - især systematisk og bred evaluering af personer med henblik på profilering, store mængder (*) følsomme og semifølsomme oplysninger og systematisk overvågning af offentlige områder DPO'en skal inddrages DPA'en kan lave liste over behandlinger, hvor DPIA skal foretages (godkendes af EDPB) og en ditto hvor der ikke skal laves DPIA DPIA skal indeholde: beskrivelse af behandlinger, formål, legitim interesse hos dataansvarlig, vurdering af nødvendighed og proportionalitet af behandling i forhold til formål, vurdering af risici for datasubjekter og beskrivelse af sikkerhedstiltag Eventuel compliance med Code of Conduct Datasubjekterne kan eventuelt inddrages i evaluering Hvis DPIA viser høj risiko som ikke kan imødegås skal DPA konsulteres (*) store mængder data er mindst større end enkelte praktiserede læger eller en advokat, minimum en region 2

3 PIA - "definition" Definition Forordningen: " an assessment of the impact of the envisaged processing operations on the protection of personal data" En PIA er en vurdering af risici og mulig påvirkning, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger. Indhold PIA'en består af en analyse og af en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og besvaret. Processen sikrer, at spørgsmål stilles og svar gives på dette rette tidspunkt i en teknologis livscyklus. 3

4 PIA-proces PIA-proces Idefase Planlægning og arkitektur Teknologivalg Implementering og test Drift og ændringer Idefase: Er der behov for PIA? (A) og compliance-betragtning (B) Planlægning og arkitektur: dataflowanalyse (C), datasubjektets risici (D) og planlægning af korrigerende foranstaltninger (E) Teknologivalg: Privacy Enhancing Technologies (G) Implementering og test: Information til datasubjekter (F) og anonymisere/slette Drift og ændringer: Følge op på PIA og implementere kontroller 4

5 Afklare behovet for PIA Gennemløb nedenstående model Afgræns mest muligt, så PIA bliver så fokuseret som muligt Udfordringer med pseudonymisering og ægte anonymisering jf. artikel 29-gruppen Forordningen: pseudonyme data er stadig personoplysninger 5

6 PIA - compliance Denne PIA skaber ikke compliance med alverdens lovgivning! Principper: Behandles der personoplysninger? Hvem er dataansvarlig og hvem er databehandler? Hvad er formålet med behandlingen? Er der andre formål? Indsamles for meget? Er personoplysningerne præcise? Skal der indhentes samtykke? Er datasubjektet informeret? Må data behandles? (religion, osv) Er personoplysningerne beskyttet efter god sikkerhedspraksis? Videregives data? På en lovlig måde? Håndteres data der ikke længere anvendes? Er der foretaget anmeldelse? 6

7 PIA - dataflowanalyse Hvilke personoplysninger vil blive behandlet? Hvilke typer af teknologier anvendes? Hvordan foregår indsamlingen af personoplysninger? Til hvilket formål behandles personoplysningerne? Andre formål? Ekstra data? Er det nødvendigt, at indhente samtykke til databehandlingen? Hvilken behandling finder sted? Hvem har adgang til data? Hvem har ansvaret for personoplysningernes sikkerhed? Hvordan ser dataflowet ud efter indsamling? Tegnet flowdiagram? Hvordan organiseres personoplysningerne? Videregives data til andre? 7

8 PIA - datasubjektets risici Behandles der personoplysninger der subjektivt set kan betragtes som følsomme? Indgår der behandling af kreditkortoplysninger? Fremtræder behandlingen af personoplysninger troværdig? (virker sikker?) Kan datasubjektet få indsigt i informationer om behandlingen af personoplysninger? Er der risiko for at personoplysninger spredes til uvedkommende? (hacking) Er der risiko for at data bruges til andre formål end dem, de er indsamlet til? Kobles der personoplysninger fra flere kanaler om datasubjektet uden datasubjektets viden? Kan der ske nogen skade på eller for datasubjektet, hvis personoplysningerne kommer til uvedkommendes kendskab? (økonomi, stigmatisering) Kan der ske utilsigtet ændring eller tilintetgørelse af personoplysningerne? Hvor stor er den gruppe af datasubjekter, som kan blive berørt? 8

9 PIA - korrigerende foranstaltninger Er der en sikkerhedsorganisation? Følges en sikkerhedsstandard? Er der fysisk adgangskontrol? Er der styring af brugeres rettigheder og adgang? Foretages der sikkerhedsopdateringer af styresystemer, databaser, m.v.? Logges adgang til personoplysninger? Er der adgang til personoplysninger fra bærbart udstyr? Kan der implementeres teknologier, som pseudonymiserer eller anonymiserer personoplysninger? Slettes eller anonymiseres data, når der ikke længere er brug for dem i henhold til formålet? Er der behov for at foretage anmeldelse af databehandlingen til myndighederne? 9

10 PIA - information Var datasubjektet orienteret før indsamlingen af personoplysninger fandt sted? Har datasubjektet mulighed for at samtykke til eller at afvise, at data behandles? Hvordan informeres datasubjekterne? Har datasubjekterne nogen grad af direkte kontrol med personoplysningerne? Har datasubjekterne et kontaktpunkt, som de kan henvende sig til? Er der en procedure for at datasubjekterne kan trække samtykke for behandling af personoplysninger tilbage? Er der en procedure for at vurdere om datasubjekterne skal orienteres, hvis deres data fortabes? 10

11 Privacy Enhancing Technologies Ingen definition Et kontinuum af løsninger fra rollebaseret adgangskontrol til anonymisering Pseudonymisering, på vej mod lidt mere sikkerhed (forordningen: reducere risiko) 11

12 Kontakt Henning Mortensen 12