Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Transkript

1 /Data Protection Impact Assessment (DIA) Nye instrumenter i persondataretten Janne Glæsel (Gorrissen Federspiel) Max Sørensen ()

2 Oversigt 01 Kort om konsekvensanalyse/data Protection Impact Assessment (DIA) og Privacy Impact Assessment (PIA) 02 Kort om forordningens artikel 33 og Praktiske eksempler

3 01 Kort om konsekvensanalyse / DIA og PIA Gorrissen Federspiel

4 Kort om konsekvensanalyse/dia/pia /DIA/PIA - Risikoanalyse - PIA er allerede et kendt og anvendt værktøj indenfor privacy/persondataretten i bl.a. Canada, Australien, New Zealand, USA, Finland og UK - Direktivets art. 20 tilladelse/ prior checking /vilkår og høring af Tilsyn: - Member States shall dertermine the processing operations likely to present specific risks to the rights and freedoms of data subjects and shall check that these processing operations are examined prior to the start hereof and in context of preparation of af measure of the national parliament - PDA 50 tilladelse til/vilkår for specifikke behandlinger - compliance - Datatilsynet skal efter PDL 57 høres ved udfærdigelse af lovforslag bekendtgørelser, cirkulærer, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger (Datatilsynet har i forbindelse med høringssvar lagt op til gennemførelse af en PIA fx GovCERT overvågning og projekt om digital post og juli 2011 EU Rammemodel for RFID PIA)

5 Kort om konsekvensanalyse/dia/pia PIA - ikke et eksakt begreb En proces, - hvor et projekts mulige konsekvenser og virkninger for beskyttelsen af privatlivet klarlægges og undersøges før projektimplementering ud fra en systematisk tilgang, - hvor alle interessenters synsvinkler inddrages og typisk bred vurdering - ikke kun juridisk compliance, mhp. - at finde løsninger på, hvordan sådanne konsekvenser og virkninger kan undgås, imødegås eller minimeres, og som løbende følges op, revurderes og dokumenteres Se ICO s international study: cy_impact_assessment.aspx

6 Kort om konsekvensanalyse/dia/pia Eksempler England - The ICO PIA handbook - rivacy_impact_assessment.aspx Canada - Directive on privacy impact assessment - Australien - Privacy Impact Assessment Guide - ent_guide.html

7 02 Forordningens artikel 33 og 34 Gorrissen Federspiel

8 Forordningens artikel 33 Forordningens artikel 33 n - DIA - skal udføres når: - Behandlingen af personoplysninger kan indebære specifikke risici for registreredes rettigheder og frihedsrettigheder ( rights and freedoms of data subjects ) i medfør af behandlingens karakter, omfang eller formål - Eksempler (som kan indebære specifikke risici): - systematisk og omfattende evaluering af personlige aspekter om en persons økonomi, sundhed, præferencer mv. eller adfærd baseret på elektronisk behandling (profilering) hvis konsekvens har retsvirkning/berører væsentligt - oplysninger om seksuelle forhold, helbred, race og etnisk oprindelse eller med henblik på ydelse af sundhedsydelser, epidemiologisk forskning eller undersøgelse af psykiske eller smitsomme sygdomme, hvis oplysningerne behandles med det formål at træffe foranstaltninger eller beslutninger vedrørende omfattende grupper af specifikke personer - overvågning af offentligt tilgængelige områder - Omfattende registre vedrørende børn, genetiske data eller biometriske data

9 Forordningens artikel 33 Forordningens artikel 33 n skal omfatte: - en generel beskrivelse af den planlagte behandling - projektbeskrivelse, herunder formål og hvilke personoplysninger, som bliver behandlet, beskrivelse af data flow (indsamling, brug, videregivelse mv.), - en analyse af risiciene for registreredes rettigheder og frihedsrettigheder - hvordan påvirker behandlingen datasubjektets rettigheder og frihedsrettigheder - de foranstaltninger, der er nødvendige for at afhjælpe disse risici - herunder alternative muligheder, begrænsninger og transparens - garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med forordningen - dokumentation

10 Forordningens artikel 33 ICO s PIA håndbogs fasebeskrivelse - Projektoplæg/beskrivelse - Forberedende fase - Hørings- og analysefase - Dokumentationsfase - Revurderings- og revisionsfase

11 Forordningens artikel 33 Forordningens artikel 33 - Den registeransvarlige skal indhente udtalelser fra registrerede eller deres repræsentanter vedrørende den planlagte behandling - Offentlige myndigheder vil være fritaget for at skulle foretage en konsekvensanalyse, hvis behandlingen følger af en retlig forpligtelse, som er reguleret i EU-retten, medmindre medlemsstaterne vurderer, at en sådan analyse skal foretages inden behandlingen - Kommissionen er tillagt kompetence til at fastsætte standarder og procedurer for gennemførelse, kontrol og revision af konsekvensanalysen gennem delegerede retsakter

12 Forordningens artikel 33 The ICO PIA handbook Appendix A - Threshold Privacy Assessment Form

13 Forordningens artikel 33 Forordningens artikel 34 Pligt til forudgående høring af tilsynsmyndigheden: - n viser, at en behandling i medfør af dens karakter, omfang eller formål kan indebære store konkrete risici - Behandlingen fremgår af en liste udfærdiget af tilsynsmyndigheden (behandlinger, der sandsynligvis kan indebære specifikke risici) Indlevering af konsekvensanalysen til tilsynsmyndigheden: - Datatilsynet anbefaler i høringssvaret ud fra et synspunkt om accountability, at man arbejder for en ændring af artikel 34, stk. 6 således, at konsekvensanalysen kun skal indsendes, hvis tilsynet anmoder herom eller analysen viser, at behandlingen indebærer store konkrete risici

14 03 Praktiske eksempler Gorrissen Federspiel

15 Praktiske eksempler Eksempel på behovet for konsekvensanalyse Bioniske kontaktlinser. Linser med sender der kan kobles sammen med smartphone m.v. Transmiterer oplysninger om forskellige fysiske tilstande hos brugeren. Men kan i fremtiden også bruges til marketing sammen med geo location, facial recognition, push marketing. Facial recognition på smartphones anvendes allerede i dag af politiet i USA, hvor scanningsprogrammer transmiterer data der matches med data i databaser over registrerede personer.

16 Praktiske eksempler Eksempel på en konsekvensanalyse - EU rammemodel for RFID PIA (PIA) 1) Beskrivelse af systemet: - Skal give et omfattende og fyldestgørende billede af det samlede system - Fx visualisering af design, snitflader og informationsstrømme 2) Identifikation af relevante risici - Identificere omstændigheder, som vil kunne true eller kompromittere personlige data - Vurdering af sandsynligheden for risiciene

17 Praktiske eksempler Eksempel på en konsekvensanalyse - EU rammemodel for RFID PIA (PIA) 3) Identifikation af nuværende og foreslåede kontroller: - Kontroller af enten teknisk eller ikke-teknisk karakter - Tekniske kontroller kan være indbygget i systemet gennem design og konfiguration - Ikke-tekniske kontroller er styrings- og driftsmæssige kontroller 4) Dokumentation af dækning og udestående risici - Resultaterne af risikovurderingen dokumenteres i en PIA rapport

18 Spørgsmål?

19 Kontaktoplysninger Gorrissen Federspiel

20 Kontaktoplysninger Kontaktoplysninger Janne Glæsel D M Max Sørensen [email protected] D M