08. April 2018

DSFA - schwarze und weiße Listen

 

Datenschutz-Folgenabschätzung: andere Länder, andere Sitten

 

 

 

Es gibt bereits Ideen zur „schwarzen Liste“ gem Art 35 (5) DSGVO, dh Verarbeitungsvorgängen, die jedenfalls eine Datenschutz-Folgenabschätzung erforderlich                                                                                                              machen.

 

Während die österreichische Datenschutzbehörde damit beschäftigt, welche Verarbeitungsvorgänge keine DSFA erfordern, veröffentlichen andere DSBs Informationen zur schwarzen Liste gem. Art 35 (5) DSGVO).

 

 

 

Die polnische Datenschutzbehörde hat eine Liste dazu veröffentlicht, die von Kobylańska & Lewoszewski Kancelaria Prawna Sp. j. (in einer inoffiziellen Übersetzung) auf der Website publiziert wurde.

 

Einige interessante Verarbeitungen habe ich hier herausgepickt:

 

 

Types / criteria for processing operations for which assessment is required 

 

Examples of operations / data scope / circumstances in which a high risk of a breach may occur for a given type of processing operation

 

Potential areas of occurrence / existing areas of application 

 

1. Evaluation or assessment, including profiling and prediction (behavioural analysis) for purposes that may have negative legal, physical, financial or other effects on natural persons

 

 

Creditworthiness rating, using proprietary algorithms and data disclosure requests not directly related to risk assessment.

Banks in the process of assessing creditworthiness.

2. Automated decision making that produces legal, financial or similar material results

 

Customer profiling systems to identify purchase preferences, setting promotional prices based on the profile.

 

Online stores offering promotional prices for specific groups of clients

3. Systematic largescale monitoring of publicly accessible places using elements of recognition of features or properties

Extensive public space monitoring systems to track people and obtain data that goes beyond the data necessary to provide the service.

Means of public transport, cities offering bicycle and car rental systems, and determining paid parking zones.

Systems for monitoring work time and information flow in tools used by employees (e.g. in e-mail or on the Internet).

Workplaces (IT systems monitoring). Employees’ unawareness that their use of email, applications, access cards is monitored of objects occurring in the monitored space. This group of systems does not include video monitoring in which the image is recorded and used only to analyse law infringement incidents.

Patients’/clients’ health data.

Hospitals/organizations conducting clinical trials. Fitness clubs.

 

Monitoring purchases and purchasing tendencies (e.g. alcohol, sweets).

Loyalty programs containing elements of profiling people.

4.  Processing of special categories of personal data concerning convictions and law infringements (sensitive data according to WP 29)

Processing biometric data of clients or employees in order to identify or verify an individual in access control systems, e.g. entering certain areas, rooms or gaining access to specific accounts in an IT system in order to execute a transaction order in an IT system or withdraw cash using an ATM etc.

 

Work time monitoring systems; Entrance control systems for specific rooms; Accounting and registration systems for banking, commercial and insurance operations;  Entrance control systems for fitness clubs, hotels etc

 

 


Die gesamte Liste finden Sie hier: <<< DPIA-Poland >>>

 

 

 

Auch die belgische DSB hat eine derartige Liste (Anhang; Seiten 42 ff) veröffentlicht, die definiert, dass folgende Verarbeitungsvorgänge eine DSFA erforderlich machen:

 

1.       wenn die Verarbeitung biometrische Daten zum Zweck der eindeutigen Identifizierung der betroffenen Personen an einem öffentlichen Ort oder an einem der Öffentlichkeit zugänglichen privaten Ort verwendet;

 

 

 

2.       wenn bei der Entscheidung, einen bestimmten Dienstleistungsvertrag mit einer natürlichen Person abzulehnen oder zu beenden, personenbezogene Daten von Dritten zur späteren Prüfung erhoben werden;

 

 

 

3.       wenn die Verarbeitung bestimmte Kategorien personenbezogener Daten im Sinne von Artikel 9 der DSGVO betrifft, die zu einem anderen Zweck als dem, für den diese erfasst wurden, es sei denn, die Verarbeitung basiert auf der Zustimmung der betroffenen Person oder wenn es erforderlich ist, eine rechtliche Verpflichtung zu erfüllen, der der für die Verarbeitung Verantwortliche unterliegt;

 

 

 

4.       wenn die Behandlung unter Verwendung eines Implantats durchgeführt wird und eine Verletzung personenbezogener Daten die körperliche Gesundheit der betroffenen Person beeinträchtigen könnte;

 

 

 

5.       im Falle einer umfangreichen Verarbeitung personenbezogener Daten schutzbedürftiger natürlicher Personen, einschließlich Kinder, zu einem anderen als dem Zweck, für den sie erhoben wurden;

 

 

 

6.       wenn Daten in großem Umfang von Dritten erhoben werden, um die wirtschaftliche Situation, Gesundheit, persönliche Präferenzen oder Interessen, Zuverlässigkeit oder Verhalten, Standort oder Bewegung natürlicher Personen zu analysieren oder vorherzusagen;

 

 

 

7.  bei bestimmten Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO oder bei Daten sehr persönlicher Art (wie Daten über Armut, Arbeitslosigkeit, Beteiligung der Jugendhilfe oder Sozialarbeit, Daten über häusliche und private Aktivitäten, Standortdaten), wenn diese routinemäßig zwischen mehreren Verantwortlichen ausgetauscht werden;

 

8.  bei der umfangreichen Verarbeitung von Daten, die von mit Sensoren ausgestatteten Geräten erzeugt werden, die Daten über das Internet oder andere Mittel senden (z. B. Anwendungen des "Internet der Dinge" wie z. B. Fernsehen) intelligente Geräte, verbundenes Spielzeug, intelligente Städte, intelligente Energiezähler usw.), und wenn diese Verarbeitung zur Analyse oder Vorhersage der wirtschaftlichen Situation, Gesundheit, Präferenzen oder Interessen, der Zuverlässigkeit oder des Verhaltens, des Standortes oder der Bewegung von natürlichen Personen verwendet wird;
 

9.  bei der umfangreichen und / oder systematischen Verarbeitung von Telefondaten, dem Internet oder anderen Kommunikationsdaten, Metadaten oder Standortdaten von natürlichen Personen (z. B. WLAN-Ortung oder die Verarbeitung von Fahrgastdaten im öffentlichen Verkehr), wenn die Verarbeitung für eine von der betreffenden Person angeforderte Dienstleistung nicht unbedingt erforderlich ist;
 

10. bei der umfangreiche Verarbeitung personenbezogener Daten, bei denen das Verhalten natürlicher Personen systematisch erfasst, erfasst oder beeinflusst wird, auch zu Werbezwecken, durch automatisierte Verarbeitung.

 

 

 

 

Folgende Verarbeitungen bedürfen nach Ansicht der belgischen DSB keiner DSFA:

 

     1.       die Verarbeitungen von privaten Organisationenum eine rechtliche Verpflichtung zu erfüllen;

 

 

2.       Lohn- und Gehaltsabrechnung, sofern die Daten nur für diesen Zweck verwendet werden und nur so lange gespeichert werden, als diese für diesen Zweck notwendig sind;

 

3.       Personalverwaltung, sofern die Verarbeitung keine Daten über die Gesundheit der betroffenen Person betrifft, bestimmte Kategorien von Daten im Sinne von Artikel 9 DSGVO oder strafrechtliche Verurteilungen und Straftaten im Sinne von Artikel 10 der DSGVO oder Daten zur Bewertung des Verhaltens der betroffenen Person, im Rahmen der gesetzlichen Verpflichtungen und nur so lange gespeichert werden, als diese für diesen Zweck notwendig sind;                                             

 

4.       Buchhaltung und Rechnungswesen;

 

5.       Gesellschafterregister oder Register über Anteilseigner;
 

 

 

6.       die Verarbeitung personenbezogener Daten durch eine Stiftung, einen Verein oder eine andere gemeinnützige Einrichtung im Rahmen ihrer normalen Geschäftstätigkeit, sofern sich die Verarbeitung ausschließlich auf personenbezogene Daten ihrer Mitglieder bezieht, Personen, mit denen der für die Verarbeitung Verantwortliche in regelmäßigem Kontakt mit den Empfängern der Stiftung, des Vereins oder der Einrichtung steht und bei denen keine Person auf der Grundlage von Daten Dritter registriert ist und die verarbeiteten personenbezogenen Daten nicht erfasst sind nicht länger als die Zeit, die für die Verwaltung von Mitgliedern, Kontaktpersonen und Begünstigten erforderlich ist, und nur im Rahmen der Anwendung einer Rechts- oder Verwaltungsvorschrift an Dritte weitergegeben wird;

 

7.       die Verarbeitung personenbezogener Daten, die sich ausschließlich auf die Registrierung von Besuchern im Rahmen der Zutrittskontrolle beziehen, wenn die verarbeiteten Daten auf den Namen und die Geschäftsadresse des Besuchers beschränkt bleiben, die Identifizierung seines Arbeitgeber, die Identifizierung des Besucherfahrzeugs, den Namen, den Bereich und die Funktion der besuchten Person und zum Zeitpunkt des Besuchs, und wo die verarbeiteten personenbezogenen Daten ausschließlich für die Zugangskontrolle und nicht länger als die für diesen Zweck erforderliche Zeit gehalten werden;

 

8.       Verarbeitung personenbezogener Daten, die von Bildungseinrichtungen durchgeführt werden, um ihre Beziehungen zu ihren Schülern oder Studenten im Rahmen ihrer Lehrverpflichtungen zu verwalten, vorausgesetzt, dass diese nur die Verarbeitung betreffen personenbezogene Daten in Bezug auf potenzielle derzeitige und ehemalige Schüler oder Studenten des Lehrbetriebs betreffen

 

 

 

Die Publikation in französischer Sprache finden hier: <<< DPIA-Belgium >>>

 

 

 

Bis Ende April 2018 soll nun die Art 29 DS-Gruppe einen gemeinsamen Standpunkt dazu einnehmen und eine einheitliche Liste erstellen.

Tags: Datenschutz-Folgenabschätzung, DSFA, Folgenabschätzung, weiße Liste, White List, Black List, schwarze Liste, Art 35 DSGVO

Kommentar schreiben

Kommentare: 0