HANDBOOK ON DATA PROTECTION IN HUMANITARIAN ACTION CO-EDITORS: CHRISTOPHER KUNER AND MASSIMO MARELLI SECOND EDITION REFERENCE HANDBOOK ON DATA PROTECTION IN HUMANITARIAN ACTION CO-EDITORS: CHRISTOPHER KUNER AND MASSIMO MARELLI SECOND EDITION TABLE OF CONTENTS ACKNOWLEDGEMENTS �� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 10 FOREWORD �� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 11 GLOSSARY OF DEFINED TERMS AND ABBREVIATIONS �� � � � � � � � � � � � � � � � � � 12 PART I – GENERAL CONSIDERATIONS 1. INTRODUCTION ����������������������������������������������� 19 1.1 Background ������������������������������������������������������������������������������������ 20 1.2 Objective ����������������������������������������������������������������������������������������� 21 1.3 Structure and approach ������������������������������������������������������������������ 25 1.4 Target audience ������������������������������������������������������������������������������ 25 2� BASIC PRINCIPLES OF DATA PROTECTION�������������������������� 27 2.1 Introduction ������������������������������������������������������������������������������������ 28 2.2 Basic data protection concepts ��������������������������������������������������������� 31 2.3 Aggregate, Pseudonymized and Anonymized data sets ��������������������� 33 2.4 Applicable law and International Organizations ������������������������������ 34 2.5 Data Processing principles ��������������������������������������������������������������� 35 2.5.1 The principle of the fairness and lawfulness of Processing �������� 35 2.5.2 The purpose limitation principle ������������������������������������������������������ 36 2.5.3 The principle of proportionality �������������������������������������������������������� 36 2.5.4 The principle of data minimization �������������������������������������������������� 38 2.5.5 The principle of data quality �������������������������������������������������������������� 39 2.6 Special data Processing situations ���������������������������������������������������� 39 2.6.1 Health purposes �������������������������������������������������������������������������������������� 39 2.6.2 Administrative activities �������������������������������������������������������������������� 41 2.6.3 Further Processing �������������������������������������������������������������������������������� 41 2.7 Data retention �������������������������������������������������������������������������������� 43 2.8 Data security and Processing security ���������������������������������������������� 43 2.8.1 Introduction �������������������������������������������������������������������������������������������� 43 2.8.2 Physical security ������������������������������������������������������������������������������������ 45 2.8.3 IT security ������������������������������������������������������������������������������������������������ 46 2.8.4 Duty of discretion and staff conduct ������������������������������������������������ 47 2.8.5 Contingency planning �������������������������������������������������������������������������� 48 2.8.6 Destruction methods ���������������������������������������������������������������������������� 48 2.8.7 Other measures �������������������������������������������������������������������������������������� 49 2.9 The principle of accountability �������������������������������������������������������� 49 2.10 Information ������������������������������������������������������������������������������������ 50 2.10.1 Data collected from the Data Subject ���������������������������������������������� 50 2.10.2 Information notices ������������������������������������������������������������������������������� 51 2.10.3 Data not collected from the Data Subject ���������������������������������������� 52 2.11 Rights of Data Subjects �������������������������������������������������������������������� 53 2.11.1 Introduction �������������������������������������������������������������������������������������������� 53 2.11.2 Access ������������������������������������������������������������������������������������������������������ 53 2.11.3 Correction ������������������������������������������������������������������������������������������������ 55 2.11.4 Right to erasure ������������������������������������������������������������������������������������ 55 2.11.5 Right to object ���������������������������������������������������������������������������������������� 56 2.12 Data sharing and International Data Sharing ���������������������������������� 57 3� LEGAL BASES FOR PERSONAL DATA PROCESSING ������������������� 59 3.1 Introduction ������������������������������������������������������������������������������������ 60 3.2 Consent ������������������������������������������������������������������������������������������� 61 3.2.1 Unambiguous ������������������������������������������������������������������������������������������ 62 3.2.2 Timing ������������������������������������������������������������������������������������������������������ 62 3.2.3 Validity ������������������������������������������������������������������������������������������������������ 62 3.2.4 Vulnerability �������������������������������������������������������������������������������������������� 62 3.2.5 Children ���������������������������������������������������������������������������������������������������� 63 3.2.6 Informed �������������������������������������������������������������������������������������������������� 64 3.2.7 Documented �������������������������������������������������������������������������������������������� 65 3.2.8 Withholding/withdrawing Consent �������������������������������������������������� 65 3.3 Vital interest ���������������������������������������������������������������������������������� 66 3.4 Important grounds of public interest ���������������������������������������������� 67 3.5 Legitimate interest �������������������������������������������������������������������������� 68 3.6 Performance of a contract ���������������������������������������������������������������� 70 3.7 Compliance with a legal obligation �������������������������������������������������� 70 4� INTERNATIONAL DATA SHARING��������������������������������� 73 4.1 Introduction ������������������������������������������������������������������������������������ 74 4.2 Basic rules for International Data Sharing ���������������������������������������� 76 4.3 Providing a legal basis for International Data Sharing ���������������������� 76 4.3.1 Introduction ������������������������������������������������������������������������������������������ 76 4.3.2 Legal bases for International Data Sharing ������������������������������������ 77 4.4 Mitigating the risks to the individual ���������������������������������������������� 77 4.4.1 Appropriate safeguards/Contractual clauses ���������������������������������� 78 4.4.2 Accountability ���������������������������������������������������������������������������������������� 79 4.5 Data Controller/Data Processor relationship ������������������������������������ 80 4.6 The disclosure of Personal Data to authorities ���������������������������������� 80 5� DATA PROTECTION IMPACT ASSESSMENTS (DPIAS) . 83 5.1 Introduction ������������������������������������������������������������������������������������ 84 5.2 The DPIA process ���������������������������������������������������������������������������� 86 5.2.1 Is a DPIA necessary? ������������������������������������������������������������������������������ 86 5.2.2 The DPIA team ���������������������������������������������������������������������������������������� 86 5.2.3 Describing the Processing of Personal Data ������������������������������������ 87 5.2.4 Consulting stakeholders ���������������������������������������������������������������������� 87 5.2.5 Identify risks ������������������������������������������������������������������������������������������ 87 5.2.6 Assess the risks �������������������������������������������������������������������������������������� 88 5.2.7 Identify solutions ���������������������������������������������������������������������������������� 88 5.2.8 Propose recommendations ������������������������������������������������������������������ 88 5.2.9 Implement the agreed recommendations ���������������������������������������� 88 5.2.10 Provide expert review and/or audit of the DPIA ���������������������������� 89 5.2.11 Update the DPIA if there are changes in the project �������������������� 89 PART II – SPECIFIC PROCESSING SITUATIONS AND TECHNOLOGIES 6� DATA ANALYTICS AND BIG DATA . 91 6.1 Introduction ������������������������������������������������������������������������������������ 92 6.2 Application of basic data protection principles ��������������������������������� 97 6.2.1 Purpose limitation and Further Processing ������������������������������������ 98 6.2.2 Legal bases for Personal Data Processing �������������������������������������� 100 6.2.3 Fair and lawful Processing ���������������������������������������������������������������� 102 6.2.4 Data minimization ������������������������������������������������������������������������������ 103 6.2.5 Data security ���������������������������������������������������������������������������������������� 104 6.3 Rights of Data Subjects