Hvordan arbejder Wired Relations med Datatilsynets skabelon?
De fleste spørgsmål var rettet mod Allan Frank, IT-sikkerhedsspecialist hos Datatilsynet. Men vi fik også et enkelt spørgsmål: "Hvordan understøtter Wired Relations, at man i forbindelse med kortlægningen af en behandlingsaktivitet også får dokumenteret lovlighedsvurderingen, som er et naturligt led i processen?"
Vi har besvaret dette spørgsmål i videon nedenfor:
Her er listen af spørgsmål og svar til Allan Frank
Hvis man kender sin proces i detaljer, og lovligheden er på plads, og alle systemer og leverandører der indgår er sårbarhedsvurderet, og risici for forretningsdata er på plads, så er billedet vel ikke så meget anderledes når det handler om persondata? Med få undtagelser selvfølgelig. Eller hvad?
Der er i hvert fald et betydeligt overlap især på artikel 32. Men man skal bare holde fokus på, at forordningens risikobillede baserer sig på ”risikoen for den registreredes rettigheder og frihedsrettigheder”. Det er oftest ikke sammenfaldende med forretningens risici. Og så er der lige artikel 25 og 5, stk. 1 man skal huske at holde fokus på.
Kan Allan komme med eksempler på situationer hvor dataansvarlige begår den fejl at foretage en risikovurdering af en ulovlig behandling?
Dem jeg har set indtil videre er primært hvor den designede proces og/eller it-understøttelse og/eller aftaleforholdene for leverancen; f.eks. gør, at man behandler personoplysninger der ikke er hjemmel til (eller for 9, stk. 1 oplysninger mangler en undtagelse i 9, stk. 2), eller ikke gør det muligt at overholde de registreredes rettigheder, eller overfører oplysninger til et 3. land, uden at det lever op til kapitel 5. I de tilfælde skal man redesigne processen så den bliver lovlig. Herefter skal risikovurderingen gå på, at denne lovlige proces bliver ramt af en hændelse.
Kan en dataansvarlig eksempelvis i en konsekvensanalyse risikovurdere på overholdelsen af formålsbegrænsningsprincippet?
I forhold til risikovurdering NEJ. Man kan kun benytte risikomomenter på principperne i 5, stk. 1, der hvor der rent faktisk indgår et sådant risikomoment for det konkrete princips overholdelse.
Som sagt ovenfor, man kan risikovurdere på, at en ellers lovlig proces bliver ramt af en hændelse, der gør, at art. 5, stk. 1 ikke overholdes. Bemærk dog at dette medfører, at man har taget hændelsen med i vurderingen af, om designet skal tilpasses til at mitigere dette efter art 25.
Er det Datatilsynets stillingtagen, at den dataansvarlige skal kunne dokumentere, at have gennemgået alle sine behandlingsaktiviteter, identificeret behandlingsaktiviteter med en DPIA-pligt og en tidsplan for udarbejdelse af disse?
Det er Datatilsynets opfattelse, at man ikke påbegynder behandlingen af personoplysninger, før man har lavet sin DPIA (hvis man skal det) og nedbragt de deri identificerede risici til et niveau hvor forordningen overholdes.
Hvad angår dokumentation, kræver tilsynet alene det som følger af art. 5, stk. 2 og 24. Se vores vejledninger herom, særligt cloudvejledningen og dem om databehandlere og tilsyn med disse. Læs også den nye 64, stk. 2 udtalelse fra EDPB.
Kan en DPO udarbejde en DPIA for den dataansvarlige?
Nej, det ville medføre en interessekonflikt ifht armslængde. DPOens opgave ifht til DPIA er i øvrigt udtrykkeligt nævnt i art 39, stk 1, litra c. (rådgivning og overvåge opfyldelsen)
Har Datatilsynet en liste over hvad Datatilsynet vurdere er "ny teknologi" som jo er et af kriterierne til vurdering af om der skal udarbejdes en DPIA?
Nej. Vi forholder os til bestemmelsen, WP 248 og præambelbetragtning 91 kan dog give nogen vejledning.
En virksomhed har udviklet en garderobe løsning, der baserer sig på fingeraftrykafgivelse ved indlevering af jakke mv. og efterfølgende genkendelse når jakken hentes igen, i stedet for det kendte nummer system med fysisk billet. Der indhentes et samtykke forinden fingeraftrykket afgives, og man har et alternativ som er den kendte metode med fysisk billet. Her tænker jeg der skal udarbejdes en DPIA inden lancering - korretk? Men skal der også indhentes en godkendelse til databehandlingen hos Datatilsynet?
Jeg tror man først skal vurdere om man kan finde et lovligt behandlingsgrundlag og en lovlig undtagelse. Herudover gælder der i særlige behandlings-scenarier et krav om godkendelser fra tilsynet efter databeskyttelsesloven bl.a. i § 7
Vedrørende vurderingen af onward transfers i en DPIA- vil den dataansvarlige også skulle kunne dokumentere underdatabehandleres overførelsesgrundlag eller instruere herom?
Det kommer an på omstændighederne og hvor onward sker fra (fra og til hvilke lande)?
Hvorfor indeholder lovlighedsvurderingsfanen ikke kolonner omkring fortegnelseskravet, jf databeskyttelsesforordningens artikel 30? Eller risikovurdering vedrørende databeskyttelse, jf. databeskyttelsesforordningens artikel 24 og 25, stk, 1?
Tja ingen skabelon er fuldkommen, så hvis der er ting der kunne være lovlighedskrav skal man jo tage dem med af sig selv. Men fsv angår både art 30, 25, stk. 1 og 24 dokumentationen, så kan man godt skille disse ud særskilt hvis det virker bedre i den model, man bruger. Vi forventer i tilsynet at disse fortegnelser, og beskrivelserne af overvejelser og foranstaltninger efter 25, stk. 1, foreligger dokumenteret.
Når Allan siger, at DPF løser tredjelandsproblematikken, betyder det da, at vi ikke skal vurdere underdatabehandlere til eksempelvis en amerikansk virksomhed, som står på DPF listen?
De skal stadigvæk vurderes. Det jeg mente var, at der var et gyldigt overførselsgrundlag (kap V) til en amerikansk databehandler på listen.
Hvad er fordelen med 1-4 systemet frem for 1-5?
Hmmmmm ikke noget særlig fordel, hvis man kan orker og vil kan man opdele det i 1/100 eller 1/5 eller hvilken opløsning man ønsker. Det er dog væsentligt, at man ikke har for lav opløsning, eller har så mange niveauer at man ikke kan vedligeholde og benytte dem konstant. Et sted mellem 4 og 6 niveauer har jeg set virke i praksis.
Skal man bruge den evalueringkriterier/matrix som Datatilsynet har udviklet i ens egen konsekvensanalyse? Matrixen passer ikke godt sammen med en almindelig risikovurderings-matrix.
Nej, der er fuld metodefrihed.
Hvad med Matrix? Hvis I ser noget som Høj risiko, så skal Datatilsynet høres i mange tilfælde...desuden, kan det være svært at nedbringe en risiko der i forvejen er Usandsynlig (1)
Næ! Datatilsynet skal jo kun høres hvis man ikke selv kan mitigere den høje risiko, (art. 36). Så hvis ens behandlinger ender oppe i det hjørne, og man ikke kan komme på en mitigerende foranstaltning, der nedbringer risikoen, skal man hellere tænke i at redesigne processen, end skrive til tilsynet. Man skal ikke forvente, at tilsynet vil godkende behandlinger, der ligger i det hjørne, andet end i situationer hvor det er betydelige samfundshensyn eller uopsættelighed for almenvellet eller lignende, der tilsiger behandlingen.
Har du lige sagt, at man skal ophøre behandlingen af konsekvens 4 oplysninger, uanset hvor lav sandsynligheden er?
Næ, Jeg har endnu mere sagt, at man slet ikke skal påbegynde behandlinger før man har mitigeret det som ens DPIA tilsiger skal nedbringes.
Man påbegynder som dataansvarlig ALDRIG en behandling med en umitigeret høj risiko. Bortset fra de tilfælde hvor tilsynet har vurderet det efter artikel 36.
Er der reelt nogen forskel på en risikovurdering og konsekvensanalyse bortset fra at ved en konsekvensanalyse skal DPOen involveres og eventuelt Datatilsynet
Hmmmm, det tror jeg næsten er religiøst. Men artikel 35, stk. 7, tilsiger hvad konsekvensanalysen mindst skal indeholde. På selve risikovurderingen er der fuld metodefrihed.
Gik du glip af webinaret? Du kan downloade det her
Vil du se, hvordan du laver DPIA'er, der følger Datatilsynets skabelon i Wired Relations? Book en demo her
