Prezentacja z warsztatu o procesie oceny skutków dla ochrony danych (DPIA) dla osób pełniących funkcję Inspektora Ochrony Danych.
Poznaj szczegóły: https://pwc.to/2LrlnI2
2. 2PwC
Agenda
1. Obowiązki Inspektora Ochrony Danych
w kontekście DPIA
2. Określenie przypadków, w których należy
przeprowadzić DPIA
3 Metodyka przeprowadzenia DPIA
4. DPIA – wątpliwości
4. Dokonując oceny skutków
dla ochrony danych,
administrator konsultuje
się z Inspektorem Ochrony
Danych, jeżeli został
on wyznaczony.
Artykuł 35 ust. 2 RODO
Przepis wskazujący obowiązek
administratora w kontekście
przeprowadzania DPIA
4PwC
5. PRZEPISY RODO
Zakres obowiązków i uprawnień
Inspektora Ochrony Danych
wskazuje m.in. art. 38
Obowiązki Inspektora Ochrony Danych
PRZEPISY RODO
Zakres obowiązków i uprawnień
Inspektora Ochrony Danych
wskazuje m.in. art. 39
UMOWA
Zakres obowiązków Inspektora
Ochrony Danych powinien być
precyzyjnie określony w umowie
będącej podstawą jego
zatrudnienia
ZALECENIA ORGANÓW
Wskazówki Europejskiej Rada
Ochrony Danych (dawniej Grupa
Robocza Art. 29) oraz wypowiedzi
regulatora krajowego
POTRZEBY ORGANIZACJI
O rzeczywistym zakresie obowiązków
mogą zadecydować potrzeby
organizacji i charakter jej
działalności
6. Inspektor Ochrony Danych ma
następujące zadania:
(…)
b) monitorowanie przestrzegania
niniejszego rozporządzenia, innych
przepisów Unii lub państw
członkowskich o ochronie danych
oraz polityk administratora lub
podmiotu przetwarzającego (…)
c) udzielanie na żądanie zaleceń co
do oceny skutków dla ochrony
danych oraz monitorowanie jej
wykonania zgodnie z art. 35.
Artykuł 39 ust 1. lit. b i c RODO
Zakres obowiązków Inspektora Ochrony Danych
6PwC
7. Obowiązki Inspektora Ochrony Danych wg Grupy
Roboczej Art. 29 (WP 243 rev.01)
Ocena, czy zachodzi konieczność przeprowadzenia
Oceny skutków dla ochrony danych
Wydawanie opinii co do:
- metody, jaką należy zastosować przy przeprowadzaniu
oceny skutków dla ochrony danych,
- ustalenia, czy ocena skutków powinna być
przeprowadzona wewnątrz organizacji, czy też
zlecona podmiotowi zewnętrzemu
Ustalenie, jakie gwarancje (uwzględniając środki techniczne
i organizacyjne) należy zastosować w celu ograniczenia
wszelkiego rodzaju zagrożeń dla praw i interesów
podmiotów danych
Ustalenie, czy ocena skutków dla ochrony danych
została przeprowadzony w prawidłowy sposób i czy
jej wyniki (wnioski oraz zalecenia dot. zabezpieczeń) są
zgodne z przepisami RODO
8. Podstawowe modele działania Inspektora Ochrony
Danych w kontekście przeprowadzenia DPIA
8PwC 8PwC
Ocena i omówienie gotowej
DPIA
Inspektor nie uczestniczy w procesie
przeprowadzania oceny skutków, a
jedynie dokonuje oceny jej efektów,
wskazuje uchybienia i wydaje
rekomendacje, które należy uwzględnić.
Aktywny udział
Inspektor aktywnie uczestniczy w procesie
przeprowadzania oceny skutków dla
ochrony danych, wydaje bieżące zalecenia,
koryguje stwierdzone nieprawidłowości,
konsultuje spostrzeżenia z właścicielami
biznesowymi. W takim modelu Inspektor
jest jednym z jej współtwórców.
10. Czy po zastosowaniu
środków mitygujących
dalej mamy do
czynienia z wysokim
ryzykiem?
[art. 36(1)]
Przeglądy DPIA
[art. 35(11)]
DPIA
[art. 35(7)]
Schemat przeprowadzania DPIA
Podstawowe obowiązki dotyczące DPIA wg. RODO
Prawdopodobieństwo
IOD [art. 35(2)]
Monitoruj wydajność
[art. 39(1)(c)]
taknie
DPIA nie jest
potrzebne
tak
Opinia osób,
których dane dotyczą
[art. 35(8)]
Wyjątek?
[art. 35(5) i (10)]
nie
Kodeksy
postępowania
[art. 35(8)]
Prawdopodobieństwo
wysokiego ryzyka?
[art. 35(1), (3) i (4)]
Wcześniejsze
konsultacje
Brak wcześniejszych
konsultacji
taknie
10PwC
11. Przypadki obowiązkowej DPIA wg RODO
Ma miejsce
systematyczna,
kompleksowa ocena
czynników osobowych
odnoszących się
do osób fizycznych,
która opiera się na
zautomatyzowanym
przetwarzaniu, w tym
profilowaniu, i jest
podstawą decyzji
wywołujących skutki
prawne wobec osoby
fizycznej lub w podobny
sposób znacząco
wpływa na osobę
fizyczną.
Ma miejsce
przetwarzanie na dużą
skalę szczególnych
kategorii danych
osobowych, o których
mowa w art. 9 ust. 1
RODO, lub danych
osobowych dotyczących
wyroków skazujących
i naruszeń prawa,
o czym mowa
w art. 10 RODO.
Ma miejsce
systematyczne
monitorowanie
na dużą skalę
miejsc dostępnych
publicznie.
12. Kryteria Grupy Roboczej Art. 29
1 Ocena lub punktacja, w tym profilowanie i prognozowanie
Systematyczne monitorowanie
Dane przetwarzane na dużą skalę
Automatyczne podejmowanie decyzji o skutku prawnym
lub podobnie znaczącym skutku
Innowacyjne wykorzystanie lub stosowanie nowych technologii
Dane wrażliwe lub dane o wysoce osobistym charakterze
Dopasowanie lub łączenie zbiorów danych
Dane osób wymagających szczególnej opieki
Przypadek, gdy samo przetwarzanie „uniemożliwia
osobom, których dane dotyczą, wykonanie prawa
lub korzystanie z usługi lub umowy”
2
3
4
5
6
7
8
9
12PwC
13. Zalecenia organów nadzorczych
Prezes Urzędu Ochrony danych
Przypadki, w których należy
przeprowadzić DPIA zostały
wskazane w komunikacie
z 17 sierpnia 2018 r.
Przykłady:
Profilowanie użytkowników portali
społecznościowych i innych aplikacji
w celach wysyłania niezamówionej
informacji handlowej (spamu)
Monitorowanie zakupów i preferencji
zakupowych (np. alkohol, słodycze)
ICO Information
Commissioner's Office
W ramach swojej działalności
brytyjski organ nadzorczy wydaje
wiele zaleceń publikowanych
m.in. na stronach interentowych
urzędu
Przykłady:
Przetwarzanie danych, które w razie
naruszenia ochrony mogłyby narazić
podmiot danych na szkodę
Profilowanie on-line
Profilowanie danych dzieci w celu
oferowania ich usług lub towarów
15. Na czym opierać metodykę przeprowadzenia DPIA?
Normy ISO:
np. rodzina norm 27000, 29134
Wytyczne Grupy Roboczej Art. 29
dotyczące oceny skutków dla ochrony danych (DPIA)
Wytyczne GIODO:
Jak stosować podejście oparte na ryzyku?
Istniejące metodyki w zakresie zarządzania ryzykiem
w organizacji
16. Kto oprócz właściciela biznesowego powinien być
zaangażowany w proces DPIA?
1.
Zespół prawny – w tym
Inspektor Ochrony Danych
2.
Zespół
techniczno-informatyczny
3.
Zewnętrzni konsultanci
16PwC
24. PwC
Dziękujemy
Arwid Mednis
Partner, radca prawny, Lider TMT/IP i Ochrony
Danych Osobowych, PwC Legal
arwid.mednis@pwc.com
Ewelina Taracha
Menedżer w zespole Zarządzania Ryzykiem
ewelina.taracha@pwc.com
Łukasz Ślęzak
Menedżer w zespole Cyberbezpieczeństwa
lukasz.slezak@pwc.com
Konrad Dobrowolski
Adwokat, zespół Nowych technologii i danych
osobowych, PwC Legal
konrad.dobrowolski@pwc.com
24