Vurdering av personvernkonsekvenser (DPIA) -vi vet hvorfor og når, men HVORDAN

Transkript

1 Vurdering av personvernkonsekvenser (DPIA) -vi vet hvorfor og når, men HVORDAN

2 Lovlighet, rettferdighet og åpenhet Formålsbegrensning Art. 5 Riktighet Dataminimering Integritet og konfidensialitet Ansvar Lagringsbegrensning

3 Borgernes rettigheter og friheter Informasjon Innsyn Korrigering Sletting Begrensning Dataportabilitet Innsigelse Automatiserte avgjørelser Særskilte rettigheter for beskyttelse av barns personvern 3

4 Hvilke behandlingsaktiviteter er omfattet av en DPIA? «Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.» (Art. 35.1) 4

5 Typetilfeller der det er nødvendig med DPIA Det skal særlig være nødvendig i følgende tilfeller: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av særlige kategorier av personopplysninger i stor skala systematisk overvåking av offentlig område i stor skala Datatilsynet må publisere liste over når det er påkrevd Datatilsynet kan publisere liste over når det ikke er påkrevd Art. 35 nr

6 Datatilsynets MÅ-liste (artikkel 35 nr. 4) 1. Personopplysninger samlet inn via en tredjepart i følge med minst ett annet kriterium *. 2. Behandling av biometriske opplysninger for å identifisere enkeltpersoner i følge med minst ett annet kriterium *. 3. Behandling av genetiske opplysninger i følge med minst ett annet kriterium *. 4. Behandling av personopplysninger med innovativ teknologi i følge med minst ett annet kriterium *. 5. Behandling av personopplysninger for systematisk monitorering av ansatte. 6. Behandling av personopplysninger, uten samtykke, for vitenskapelige eller historiske formål i følge med minst ett annet kriterium *. 7. Behandling av lokasjonsdata i følge med minst ett annet kriterium *. 8. Behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager. 9. Systematisk monitorering, inkludert kameraovervåking, på offentlig tilgjengelige områder i stor skala. (Systematisk monitorering og stor skala.) 10. Kameraovervåking i skoler og barnehager i åpningstider. (Systematisk monitorering og sårbare registrerte) 11. Behandling av særlige kategorier av personopplysninger eller svært personlige opplysninger i stor skala for algoritmetrening. 12. Behandling av personopplysninger ved å systematisk monitorere effektivitet, ferdigheter, kunnskap, mental helse og utvikling. (Svært personlige opplysninger og systematisk monitorering). 13. Behandling av personopplysninger der formålet er å tilby en tjeneste eller utvikle produkter for kommersiell bruk som involverer å forutsi jobbprestasjoner, økonomi, helse, personlige preferanser eller interesser, pålitelighet, adferd, lokasjon eller bevegelsesmønster. (Særlige kategorier av personopplysninger eller svært personlige opplysninger og evaluering/poengsetting). 14. Innsamling av personopplysninger i stor skala gjennom «tingenes internett» eller velferdsteknologi. (Stor skala og særlige kategorier av opplysninger eller svært personlige opplysninger.) 6

7 Behandlingsaktivitet som må gjennomføre DPIA «Behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager» Systematisk monitorering og sårbare registrerte Informasjonssystem som tas i bruk for å imøtekomme kravet i opplæringsloven kap 9; systematisk tilnærming, regelmessighet, Barn er «de registrerte» = sårbare individer Ikke-anonym kartlegging av mobbing i skolen 7

8 DPIA prosess inndelt i fire faser

9

10 Systematisk beskrivelse av mobbekartlegging Hva skal beskrives Behandlingens art, omfang, formål og sammenhengen behandlingen utføres i Mottakere, dataflyt og lagring Mobbekartlegging Personlige forhold, særlige kategorier av personopplysninger? Alle elever omfattet Skjevt maktforhold (elev/skole) Brukes til beslutninger Bruk til andre formål (forskning?) Beskrivelse av hvordan personopplysningssikkerheten er ivaretatt Risikovurderinger og sikringstiltak 10

11 Hva er en personopplysning? Enhver opplysning som direkte eller indirekte kan knyttes til en person Art. 4 nr. 1

12 Beskrivelse av personopplysninger som inngår i mobbeundersøkelse Fullt navn (cn) Navn som normalt vises (displayname) Tilhørighet (edupersonaffiliation) Entydig navn (DN) for brukerens vertsorganisasjon (edupersonorgdn) Entydig navn (DN) for brukerens organisasjonsenhet (edupersonorgunitdn) Primær tilknytning til organisasjon (edupersonprimaryaffiliation) Personlig ID hos organisasjonen (edupersonprincipalname) Liste med skoler (feideschoollist) Fødselsår (feideyearofbirth) Fornavn (givenname) Folkeregistrert navn (noredupersonlegalname) Unik ID for organisasjon (schachomeorganization) Etternavn (sn) Bruker-ID (uid) Språk (preferredlanguage)

13 Systematisk beskrivelse av mobbekartlegging Hva skal beskrives Behandlingens art, omfang, formål og sammenhengen behandlingen utføres i Mottakere, dataflyt og lagring Mobbekartlegging Personlige forhold, særlige kategorier av personopplysninger? Alle elever omfattet Skjevt maktforhold (elev/skole) Brukes til beslutninger Bruk til andre formål (forskning?) Beskrivelse av hvordan personopplysningssikkerheten er ivaretatt Risikovurderinger og sikringstiltak 13

14 Mål: I denne fasen sørge for at kommunens valg er legitime; dvs bidrar til at behandlingen er nødvendig og står i et rimelig forhold til formålene.

15 Nødvendighet og proporsjonalitet Hva skal beskrives Behandlingsgrunnlag Formål(ene) Dataminimering Riktighet Lagringsbegrensning De registrertes rettigheter og friheter Mobbekartlegging Lovhjemmel eller samtykke? Finne ut hvem som mobber og hvem som blir mobbet Er det nødvendig med identitet? Hva gjøres for å validere de svarene som kommer inn? Når blir svarene slettet? Har elever/foresatte rett til informasjon, innsyn, retting, sletting? Kan opplysningene føre til diskriminering/forhåndsdømming? 15

16 Den registrertes perspektiv Verdiene som skal beskyttes er den registrertes rettigheter og friheter. Håndtere risiko i inngripende behandlinger som medfører økt fare for å krenke fysiske personers rettigheter og friheter. For å oppnå tillit til behandlingen må man sørge for reell åpenhet, forutsigbarhet og medbestemmelse.

17 Hvorfor har vi behov for et privatliv? Uten mulighet for å holde på hemmeligheter og velge når de skal avsløres, vil mennesket miste sin identitetsfølelse og alt som heter selvstendighet «Secrets» av Sissela Bok (foreleser i etikk ved Harvard) Enhver situasjon der en av partene ikke kan vite hvilke opplysninger om vedkommende som er tilgjengelig for de andre, er ydmykende og gjør frie avgjørelser umulige. Den ungarske forfatningsdomstolen, april

18 Vurdering av risiko og planlagte tiltak Hva skal beskrives Identifiser hvilke rettigheter og friheter som begrenses av behandlingen Identifiser scenarier som kan oppstå Beskriv konsekvenser av at rettigheter og friheter ikke blir ivaretatt Bestem tiltak for å gjøre risikoen mindre Mobbekartlegging: Informasjon, innsyn, retting, sletting Feilaktige karakteristikker Belastende karakteristikker Omdømmetap, sosiale konsekvenser, helse, tillit, sak opprettet på falske premisser Ta med elever og foresatte med i DPIAprosessen Velge anonym kartlegging Krav til automatisk sletting Kryptering, tilgangsstyring, 18

19 Ansvar: Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at Artikkel 5 (1) overholdes. Den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov Artikkel 24 (1).

20 Ledelsens validering av DPIA Hva skal beskrives/gjøres Funn fra gjennomføring av DPIA sammenstilles og presenteres ledelsen Dokumenter hvordan hensynet til interessenter er ivaretatt Ledelsens gjennomgang, beslutning og godkjenning Mulige utfall: Godkjent/validert => Behandling kan starte opp Betinget av forbedringer (forklar på hvilken måte) => Revidert DPIA skal fremlegges på nytt for ledelsen Avvist: Virksomheten beslutter å ikke gjennomføre behandlingen. 20

21 Takk for oppmerksomheten! Telefon: datatilsynet.no

22 Når er risiko høy? Art Behandlingens iboende karakteristikk: Vanskelig å utøve sine rettigheter Uforutsigbarhet, liten åpenhet og usikkerhet om ivaretakelse av prinsipper Systematisk behandling Særlige kategorier Skjevt maktforhold Ny teknologi / gammel teknologi brukt på ny måte Kompleksitet Automatiske avgjørelser Behandlingens størrelse/rekkevidde: (er stort omfang det samme som stor skala?) Antall registrerte involvert (tall eller %) Volumet av data (antall variabler, detaljer) Lagringstid (kort, tidsavgrenset, permanent) Geografisk omfang (lokalt, regionalt, nasjonalt, internasjonalt, globalt) Omfang Formål Hva skal personopplysningene brukes til: Kontrollformål Behandling med mål om å ta beslutninger som får betydning for den registrerte Å treffe avgjørelser om enkeltpersoner basert på systematisk og omfattende analyse av personopplysninger Sammenheng Hvilken forventning om personvern omgir den konkrete behandlingen: Forventning om konfidensialitet (helse, velferd, arbeidsforhold..) Forventning om privatliv (hjem, rekreasjon..) Behandling av personopplysninger fra ulike datasett som er innsamlet for ulike forhold Kjeden av aktiviteter i behandling Deling med andre behandlingsansvarlige eller virksomheter

23 23

24 Hvorfor har vi behov for et privatliv? Grunnleggende menneskelig behov Skape og utvikle ulike sosiale relasjoner Skille roller ved å «sile» personopplysninger Skape rom for refleksjon og utvikling av personlighet Autonomi - selvbestemmelse Perso Personlig sfære Sosial sfære Offentlig sfære 24