Ocena Skutków dla Ochrony Danych DPIA dla Monitoringu
- Prawo
dane
- Kategoria
analiza
- Klucze
analiza zgodności, dpia, identyfikacja zagrożeń, monitoring, ocena skutków, ochrona danych, przetwarzanie danych, rodo, szacowanie ryzyka
Dokument 'Ocena Skutków dla Ochrony Danych DPIA dla Monitoringu' zawiera kompleksową analizę skutków przetwarzania danych w kontekście monitoringu. Omawia zagadnienia związane z ochroną danych osobowych oraz wskazuje na potencjalne ryzyka i zagrożenia związane z tym procesem. Przedstawia także metody minimalizacji ryzyka oraz zapewnienia zgodności z obowiązującymi przepisami prawodawczymi dotyczącymi ochrony danych osobowych.
Założenie wstępne: ustalono potrzebę przeprowadzenia oceny skutków w ramach korzystania z monitoringu.
Algorytm postępowania:
* Określenie tła oceny ryzyka, w tym systematyczny opis operacji i celów;
* Ocena proporcjonalności i niezbędności;
* Identyfikacja zagrożeń (w ramach poszczególnych operacji i w ramach realizacji poszczególnych wymogów);
* Ocena ryzyka (w tym szacowanie);
* Podjęcie decyzji co do ryzyka, w szczególności środków obniżających poziom ryzyka oraz decyzji co do uprzednich konsultacji.
Ocena skutków dla ochrony danych (DPIA) dla monitoringu Warszawa
W ROZUMIENIU ART. 35 ust. 7 RODO
ETAP I. TŁO OCENY RYZYKA
Dane administratora danych: Firma Ochroniarska "Bezpieczny Dom" Sp. z o.o.
Dane kontaktowe IOD: [email protected]
Kategorie danych
Czy będą Podstawa Okres przetwarzania danych (retencja)
wykorzystywane
szczególne
Główne: kategorie danych:
A. Cele B. przetwarzania
Zapewnienie bezpieczeństwa Wizerunek Art. 6 ust. 1 lit. f) RODO 30 dni
Poboczne:
Identyfikacja osób w przypadku Dane osobowe (imię, nazwisko, adres) - -
zdarzeń w przypadku kontaktu w sprawie zdarzenia
Zagadnienie odpowiedzi
Systematyczny opisplanowanych operacji:Np. monitorowanie,przechowywanie,przeglądanie,przetwarzanie danychprzy wykorzystaniubiometrii,automatycznepodejmowanie decyzji,nagrywanie
Monitoring wizyjny, rejestracja i przechowywanie obrazu przez 30 dni. Automatyczne nadpisywanie nagrań po tym okresie.
Aktywa informatyczneobsługujące proces
Kamery IP, rejestrator NVR, serwer z oprogramowaniem do monitoringu.
W jaki sposób danebędą usuwane?
Automatyczne nadpisywanie nagrań po 30 dniach.
Kto wewnątrzorganizacji (jakakategoriapracowników) będziemiał dostęp do danychz monitoringu i czyzakres dostępu jestuzasadniony iniezbędny?
Pracownicy ochrony, administrator systemu monitoringu - dostęp ograniczony do nagrań z ostatnich 30 dni.
Kto wewnątrzorganizacji (jakakategoriapracowników) będzieusuwał faktycznie danez monitoringu?
System automatycznie nadpisuje nagrania.
Kto wewnątrzorganizacji (jakakategoriapracowników) będziedecydował orozmieszczeniumonitoringu?
Dyrektor ds. bezpieczeństwa.
Czy będzie dochodzićdo ujawnienia danychpoza organizację?Jeżeli tak:- jaki jest celujawnienia? (np.realizacja obowiązkuwynikającego zprzepisów);- jaka jest rolaodbiorcy? (np.niezależnyadministrator danych);- czy będziedochodziło dopowierzenia danych?- kto wewnątrzorganizacji będziedecydował oujawnieniu;- w jakiej formiedochodzić będzie doujawniania (np. zdalnydostęp do serwera);
Tak, w przypadku uzasadnionego wniosku organów ścigania.Cel: Współpraca z organami ścigania.Rola odbiorcy: Organy ścigania.Powierzenie danych: Nie.Decyzja o ujawnieniu: Dyrektor ds. bezpieczeństwa.Forma ujawniania: Przekazanie kopii nagrań.
Czy przetwarzanie jestobjęte zatwierdzonymkodeksem wrozumieniu art. 40rodo?
Nie.
Czy skonsultowanoplanowane operacje zIOD? Jaki był wynikkonsultacji?
Tak, IOD wyraził zgodę na przetwarzanie danych.
Czy administratorzasięgnął opinii osób,których dane dotyczą,lub ich przedstawicieliw sprawiezamierzonegoprzetwarzania, bezuszczerbku dlaochrony interesówhandlowych lubpublicznych lubbezpieczeństwaoperacjiprzetwarzania?
Nie dotyczy.
Czy podgląd monitoringu Czy monitoring maObszar objęty Osoby objęte Ilość charakter ma charaktermonitoringiem monitoringiem kamer ciągły? Jeżeli ciągły (24h)? nie to jaki? (np. Czy dane z monitoringu Pracownik ochrony analizują monitoring wyłącznie w godzinach 18:00-6:00)będą nagrywane?
Wejście do budynku, Wszyscy wchodzący 2 Tak Tak parking i wychodzący
ETAP II. OCENA PROPORCJONALNOŚCI I NIEZBĘDNOŚCI
Zagadnienie odpowiedzi
Czy przetwarzanie jestniezbędne?
Tak, dla zapewnienia bezpieczeństwa.
Czy nie możnazrealizować celówprzetwarzania w innysposób?
Nie, monitoring wizyjny jest najskuteczniejszym sposobem zapewnienia bezpieczeństwa.
Jak będą realizowaneobowiązkiinformacyjne?
Informacja o monitoringu zostanie umieszczona przy wejściu do budynku i na parkingu.
Jak będą realizowaneinne prawa wynikającez rozdziału III rodo?
Procedura dostępu do danych i ich usuwania jest opisana w polityce bezpieczeństwa.
Jak będą realizowane Poprawnośćzasady ogólne danych Ograniczenie przechowywania (np. procedura retencji) Minimalizacja (w zakresie dostępu do danych; obszaru; zakresu danych) Ograniczenie celu (m.in. kontrola zmiany celu) bezpieczeństwo
Zgodnie z politykąbezpieczeństwa.Dane przechowywaneprzez 30 dni.Dostęp do danychmają tylkoupoważnienipracownicy. Monitoringobejmuje tylkoniezbędne obszary.Dane wykorzystywanetylko do celówbezpieczeństwa.System monitoringujest zabezpieczonyprzed nieautoryzowanymdostępem.
Pozostałe wymogi np.dotyczące powierzeniadanych
Nie dotyczy.
ETAP III. IDENTYFIKACJA I OCENA RYZYKA (W TYM SZACOWANIE)
Założenia:
Identyfikacja zagrożeń (źródeł ryzyka) i ich negatywnych konsekwencji, następuje woparciu o wiedzę:
* co do tła oceny ryzyka, w tym realizowanych operacji;
* co do wdrożonych (już) środków realizacji poszczególnych wymogów;
* o typowych scenariuszy zagrożeniach, które mogą ujawnić się w ramach poszczególnych operacji i mogą wpłynąć na realizację wymogów;
* o szczególnych zagrożeniach dotyczących monitoringu Warszawa.
WYKAZ PRZYKŁADOWYCH ZAGROŻEŃ W POSZCZEGÓLNYCH OBSZARACH WYMOGÓW
* Brak weryfikacji podstaw udostępnienia danych przez innego administratora danych;
* Brak weryfikacji podstaw udostępnienia danych innemu administratorowi;
* Brak możliwości wykazania, że doszło do zawarcia umowy w związku z czym brak podstawy przetwarzania danych, o której mowa w art. 6 ust. 1 lit. b) rodo;
* Brak weryfikacji podstawy przetwarzania danych pozyskanych z Legalność Rzetelność iZasady przejrzystośćogólne innego źródła niż osoba, której dotyczy;
* Brak weryfikacji czy funkcjonalność narzędzia nie prowadzi do przetwarzania danych biometrycznych (tj. danych wrażliwych);
* Brak przeprowadzenia testu równowagi w ramach przesłanki z art. 6 ust. 1 lit. f) rodo;
* Brak kontroli podstaw przetwarzania danych w ramach zmiany celu;
* Naruszenie warunków zgodności celu następczego i pierwotnego;
* Niekontrolowane łączenie danych zebranych dla różnych celów;
* Brak weryfikacji czy przetwarzanie jest niezbędne.
* Brak weryfikacji celu i podstawy przetwarzania danych w Ograniczenie celu ramach poszczególnych celów;
* Naruszenie warunków zgodności celu następczego i pierwotnego;
* Brak odniesienia celu przetwarzania względem precyzyjnie określonych kategorii osób i przetwarzanych danych.
* Brak kontroli zakresu zbieranych danych;
* Zbieranie nadmiarowych danych;
* Brak weryfikacji czy w ogóle zbieranie danych jest niezbędne do realizacji określonych celów;
minimalizacja * Brak identyfikacji minimalnego zakresu danych względem każdego z celów przetwarzania danych;
* Brak kontroli nad zakresem danych przetwarzanych w różnych celach
* Brak określenia długości przetwarzania danych w ramach poszczególnych celów przetwarzania danych;
Ograniczenie przechowywania * Niedostosowanie długości przetwarzania danych do poszczególnych kategorii danych;
* Brak weryfikacji długości przetwarzania danych w przypadku gdy nie doszło ostatecznie do zawarcia umowy;
* Brak kontroli prawidłowości danych
* Brak (mechanizmów) reakcji na informacje o braku poprawności Poprawność (prawidłowość) danych;
* Brak mechanizmu weryfikacji poprawności danych (np. proceduralnych);
* Brak kontroli poprawności profilowania
Rozliczalność * Naruszenie zasady rozliczalności i w związku z tym brak kontroli nad realizacją wymogów rodo
bezpieczeństwo * Brak odpowiednich zabezpieczeń technicznych i organizacyjnych.
W związku z powyższym ustalono następujące zagrożenia (źródła ryzyka).
Oznaczenie procesu MON-2023-10-26
Realizowaneoperacje
Obszar wymogów w ramach którego identyfikowane są zagrożenia (źródła ryzyka naruszenia prawlub wolności)
Zasady ogólne: Realizacja praw Ujawnienie inneZgodność z prawem / Rzetelność przejrzystość (w tymobowiązki informacyjne) / Ograniczenie celu /minimalizacja / prawidłowość / Ograniczenieprzechowywania / bezpieczeństwo13 rodo danych
Monitoringwizyjny
Brak informacji omonitoringu dla osóbwchodzących na terenobiektu. Ryzykonieautoryzowanegodostępu do systemumonitoringu.
Założenia dotyczące stanu faktycznego:
* Biorąc pod uwagę zidentyfikowane zagrożenia (źródła ryzyka naruszenia praw lub wolności);
* Oszacowano następujące ryzyka:
Szacowanie ryzyka
Zidentyfikowane ryzyko Szacowanie ryzyka Poziom ryzyka
Zagrożenie (źródłoryzyka)
Negatywnekonsekwencje dlapraw lub wolności
waga
Prawdopodobieństwo
Brakinformacjiomonitoringu
Naruszenie prawa doinformacji, potencjalneroszczenia.
3
4
W
Nieautoryzowanydostęp dosystemumonitoringu
Wyciek danychosobowych, naruszenieprywatności.
5
2
W
Decyzja co do ryzyka
Zidentyfikowane ryzyko decyz ja
Środki w celu eliminacji lub Ryzyko po Decyzja co Decyzja coredukcji ryzyka wdrożeniu do do środków wdrożenia uprzednich środków konsultacji
Zagrożenie(źródłoryzyka)
Negatywnekonsekwencjedla praw lubwolności
Reedukacja wagi
Reedukacjaprawdopodobieństwa
Brakinformacjiomonitoringu
Naruszenie prawa doinformacji, potencjalneroszczenia.
Umieszczenieinformacji omonitoringu.
-
N
Tak
Nie
Nieautoryzowanydostęp dosystemumonitoringu
Wyciek danychosobowych, naruszenieprywatności.
Wdrożeniedodatkowychzabezpieczeńtechnicznych.
-
Ś
Tak
Nie
Uwagi metodologiczne i terminologiczne
Założenia terminologiczne
Wyjaśnienia:
Zagrożenie (teżjako źródłoryzykanaruszeniapraw lubwolności)
Źródło ryzyka naruszenia praw lub wolności związane z potencjalnymnaruszeniem wymogów rodo.
Ryzyko (teżjako "ryzykonaruszeniapraw iwolności")
Możliwość wystąpienia uszczerbku fizycznego lub szkód majątkowychlub niemajątkowych (przykładowo wskazanych w motywie 75 rodo).
Źródłem ryzyka są zagrożenia.
Waga ryzykanaruszeniapraw lubwolności
Miara możliwego oddziaływania (wpływu) na prawa i wolności osóbzaistniałego zagrożenia (źródła ryzyka) uwzględniająca charakterzakres, kontekst i cele przetwarzania danych.Wagę zagrożenia (źródła ryzyka) należy oceniać przez pryzmat jegokonsekwencji (wpływu na naruszenia praw i wolności). Zgodnie zmotywem 75 rodo: ryzyko naruszenia praw lub wolności osób, o różnymprawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzaniadanych osobowych mogącego prowadzić do uszczerbku majątkowego lubszkód niemajątkowych lub niemajątkowych.
Prawdopodobieństwo ryzykanaruszeniapraw lubwolności
Możliwość wystąpienia zagrożenia (źródła ryzyka) prowadzącego donaruszenia praw lub wolności osób.
Szacowanieryzyka
Możliwość wystąpienia uszczerbku majątkowego lub szkód finansowych lubniemajątkowych (przykładowo wskazanych w motywie 75 rodo).
Źródłem ryzyka są zagrożenia. W zakresie "mierzenia" wagi i prawdopodobieństwa zob. Jak rozumieć i stosować podejście oparte na ryzyku? https://uodo.gov.pl/
Poziom ryzyka(naruszeniapraw lubwolności osób)
Miara potencjalnego uszczerbku majątkowego lub szkód reputacyjnych lubniemajątkowych (przykładowo wskazanych w motywie 75 rodo), będącakombinacją wagi zagrożenia oraz prawdopodobieństwa.Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolnościosoby, której dane dotyczą, należy określić poprzez odniesienie się docharakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzykonależy oszacować na podstawie obiektywnej oceny, w ramach którejstwierdza się, czy z operacjami przetwarzania danych wiąże się ryzykolub wysokie ryzyko.
Poziom ryzyka ocenia się według następującej matrycy (według zaleceń PrezesaUrzędu Ochrony Danych Osobowych):
WAGA (wpływ) Zagrożenia tj. źródła ryzyka naprawa lub wolności
Bardzo Niska Średnia Wysoka Bardzo niska wysoka
1 2 3 4 5
Prawie pewne 5 Ś W K K K
PRAWDOPODOBIEŃSTWO
Prawdopodobne 4 Ś W W K K
Możliwe 3 N Ś W K K
1Jak rozumieć i stosować podejście oparte na ryzyku? https://uodo.gov.pl/.
Małoprawdopodobne 2 N Ś Ś W K
Rzadkie 1 N N Ś W K
Decyzja co do ryzyka
W zależności od oszacowanego poziomu ryzyka Firma Ochroniarska "Bezpieczny Dom" Sp. z o.o. podejmuje następującedziałania - według wskazówek Urzędu Ochrony Danych Osobowych:
Wartość Poziom ryzyka Opis działania
(N) Niski (N) Poziom ryzyka akceptowany - działania podejmowane w zależności od wymaganych nakładów.
(Ś) Średni (Ś) Poziom ryzyka nieakceptowany - działanie może zostać przesunięte w czasie, ale wymaga okresowego monitorowania.
(W) Wysoki (W) Poziom ryzyka nieakceptowany - działanie może zostać przesunięte w czasie, ale wymaga stałego monitorowania.
(K) Krytyczny (K) Poziom ryzyka nietolerowany - wymaga natychmiastowego działania.
Podsumowując, dokument 'Ocena Skutków dla Ochrony Danych DPIA dla Monitoringu' stanowi wyczerpującą analizę skutków przetwarzania danych w obszarze monitoringu. Wskazuje na kluczowe kwestie, ryzyka oraz zapewnia wskazówki dotyczące minimalizacji zagrożeń. Jest niezbędnym narzędziem dla wszystkich, którzy zajmują się przetwarzaniem danych osobowych w kontekście monitoringu.