Data Protection Impact Assessment
Что такое DPIA?
Оценка воздействия на защиту персональных данных (Data Protection Impact Assessment — DPIA) — процедура, предусмотренная ст. 35 GDPR. Она заключается в выявлении и описании всех процессов работы с персональными данными внутри компании. DPIA проводится для оценки рисков негативного воздействия на данные, поиска наиболее уязвимых мест в системе защиты, но главное — для выработки действий по недопущению утечек и ошибок.
Регламент не устанавливает четкой периодичности проведения DPIA, поскольку его частота напрямую зависит от деятельности компании. По замыслу создателей Регламента, каждый раз, когда вы приступаете к новому проекту, связанному с персональными данными, вы должны провести DPIA.
Зачем нужно проводить DPIA?
- Выполнить требования ст. 35 GDPR.
- Провести полную инвентаризацию обработок, систем и подрядчиков.
- Выявить неиспользуемые категории обрабатываемых данных и избавиться от них, снизив тем самым штрафы по GDPR для компании.
- Продемонстрировать партнерам, клиентам и сотрудникам свое стремление к соблюдению законов.
Провести Оценку необходимо в следующих ситуациях:
Преобразование бумажных записей и документов в электронные.
Объединение нескольких баз данных в одну.
Включение персональных данных, полученных из коммерческих источников, в существующую базу компании.
Внесение изменений в бизнес-процесс, что приведет к сбору и использованию персональных данных.
Изменение характера персональных данных в связи с добавлением новых типов информации.
Реализация проектов с использованием сторонних поставщиков.
Результатом проведения DPIA является сводная таблица, в которой описаны:
- категории, цели, объемы персональных данных, которые обрабатывает компания;
- процессы их сбора и обработки;
- сотрудники и подрядчики, принимающие участие в процессе;
- выявленные риски, слабые места и возможные угрозы;
- запланированные действия в случае нарушения приватности.
Этапы работы
Шаг 1
Шаг 2
Шаг 3
Шаг 4
Шаг 5
Шаг 6
Чек-листы DPIA
1. Проводим обучение для того, чтобы наши сотрудники понимали необходимость учёта DPIA на ранних этапах любого проекта, затрагивающего персональные данные.
2. Наши текущие принципы деятельности, процессы и процедуры включают ссылки на требования DPIA.
3. Мы знаем типы обработки, которые требуют DPIA, и используем контрольный список проверки для определения необходимости проведения DPIA.
4. Мы создали и задокументировали процесс DPIA.
4. Мы проводим обучение соответствующего персонала в отношении проведения DPIA.
1.Мы рассматриваем возможность проведения DPIA в любом крупном проекте, затрагивающем использование персональных данных.
2.Мы рассматриваем вопрос о том, стоит ли проводить DPIA, если планируем осуществлять:
- оценку или подсчет;
- автоматизированное принятие решений со значительными последствиями;
- систематический мониторинг;
- обработку чувствительных данных или данных крайне личного характера;
- обработку в крупных масштабах;
- обработку данных, уязвимых субъектов данных;
- инновационные технологические или организационные решения;
- обработку препятствующую осуществлению права или пользованию услугой или
- контрактом субъектами данных.
3.Мы всегда проводим DPIA, если планируем:
- использовать систематическое и обширное профилирование или автоматизированное принятие решений с тем, чтобы принять важное решение в отношении людей;
- обрабатывать особую категорию данных или данные в отношении уголовных
- преступлений в крупных масштабах;
- систематически широкомасштабно отслеживать общедоступное место;
использовать инновационные технологии в сочетании с любым из критериев, предусмотренных европейскими директивами; - использовать профилирование, автоматизированное принятие решений или особую категорию данных для того, чтобы помочь принять решение о чьем-либо доступе к услуге, возможности или выгоде;
- проводить профилирование в крупных масштабах;
- обрабатывать биометрические или генетические данные в сочетании с любым из критериев, предусмотренных европейскими директивами;
- объединить, сравнить или сопоставить данные из нескольких источников;
обрабатывать личные данные без предоставления уведомления об обработке персональных данных непосредственно лицу в сочетании с любым из критериев, - предусмотренных европейскими директивами;
- обрабатывать персональные данные таким образом, который включает отслеживание местоположение или действия лиц онлайн или оффлайн в сочетании с любым из критериев, предусмотренных европейскими директивами;
- обрабатывать персональные данные детей для профилирования, автоматизированного принятия решений или в маркетинговых целях, или непосредственно предлагать им онлайн-услуги;
- обрабатывать персональные данные, которые могут привести к риску получения физического вреда в случае нарушения безопасности.
4.Мы проведём новый DPIA в том случае, если произойдёт изменение характера, объема, контекста или целей нашей обработки.
5.Если мы решаем не проводить DPIA, мы предоставляем документы, обосновывающие наши причины для этого.
1.Мы описываем характер, объем, контекст и цели обработки.
2.Мы просим наших процессоров данных помочь нам разобраться и документируем их действия по обработке, определяя любые сопутствующие риски.
3.Мы рассматриваем вопрос о том, как лучше всего консультировать отдельных лиц (или их представителей) и другие соответствующие заинтересованные стороны.
4.Мы спрашиваем совет у нашего инспектора по защите персональных данных.
5.Мы проверяем, является ли обработка необходимой и соразмерной нашим целям, а также описываем каким образом мы обеспечим соблюдение принципов защиты персональных данных.
6.Мы проводим объективную оценку вероятности и тяжести любых рисков для прав и интересов отдельных лиц.
7.Мы определяем меры, которые мы можем применить для устранения или уменьшения высоких рисков.
8.Мы фиксируем наши решения в результатах DPIA, включая любые расхождения во мнениях с нашим инспектором по защите персональных данных или лицами, с которыми мы консультировались.
9.Мы внедряем меры, которые мы определили, и интегрируем их в наш проектный план.
10.Мы консультируемся с надзорным органом перед обработкой в том случае, если мы не можем уменьшить высокие риски.
11.Мы следим за нашими DPIA и при необходимости пересматриваем их.
- подтвердили то, что DPIA является обзором обработки, предшествующей GDPR, или охватывает запланированную обработку, включая сроки в обоих случаях;
- объяснили, зачем нам нужен DPIA, подробно описав те типы обработки, которые делают его обязательным требованием;
четко, систематически и логически структурировали документ; - с учетом существования аудитории без наличия специальных знаний в данной области, написали DPIA используя простой английский язык, объясняя любые технические термины и аббревиатуры, которые мы использовали;
- четко определили взаимоотношения между контроллерами, процессорами, субъектами данных и системами, используя как текстовые диаграммы, так и диаграммы потока данных там, где это необходимо;
- обеспечили четкое объяснение и описание специфики любых потоков персональных данных между людьми, системами, организациями и странами;
- чётко прописали то, каким образом мы соблюдаем каждый из принципов GDPR, и понятно разъяснили наши законные основания для обработки (а также специальную категорию условий в том случае, когда это уместно);
- объяснили то, как мы планируем поддерживать соответствующие информационные права наших субъектов данных;
- определили все соответствующие риски для прав и свобод человека, провели оценку их вероятности и серьезности, а также подробно изложил все соответствующие средства предотвращения негативных последствий;
- в достаточной мере объяснили то, каким образом любое предлагаемое сокращение последствий уменьшает выявленный риск;
- обосновали наше рассмотрение любых менее рискованных альтернатив по достижению тех же целей обработки, и то, почему мы их не выбрали;
- дали подробную информацию о консультациях с заинтересованными сторонами (например, c субъектами данных, представительными органами) и включили краткое изложение полученных результатов;
- записали советы и рекомендации нашего инспектора по защите персональных данных там, где это было необходимо, и получили одобрение DPIA соответствующими лицами;
- согласовали и задокументировали график регулярного или по случаю изменения характера, объема, контекста или целей обработки обзора DPIA;
- проконсультировались с надзорным органом на предмет того, имеются ли какие-либо последующие высокие риски, которые мы не можем ослабить.
Проекты
«Думали, что GDPR-compliant, пока не получили результаты аудита», – о том, как помогли IT-компании избежать рисков на новом рынке
Описание проекта
Уверенность в комплаенсе при выходе компании на рынок ЕС может сыграть против вас, если не провести аудит.
Описание проекта
Как начать выстраивать систему защиты персональных данных в компании-разработчике мобильных игр?
Описание проекта
«Проверьте, насколько Compliant мы и наши конкуренты»
Описание проекта
Забронируйте бесплатную консультацию прямо сейчас!
Сможете задать интересующие вас вопросы в области защиты персональных данных.
Узнаете, подходит ли данный продукт для вашей компании или проекта.
Получите ориентировки по стоимости, длительности и другие детали.
Будем рады пообщаться и запланировать онлайн-встречу с прайваси-экспертом!
Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.
Часто задаваемые вопросы
Во-первых, о GDPR необходимо серьезно задуматься каждой компании, которая так или иначе имеет дело с персональными данными граждан ЕС. Это закон, который необходимо соблюдать. И не стоит забывать, что надзорные органы, конкуренты и недовольные клиенты всегда начеку. А во-вторых, каждый случай уникальный и для каждой компании необходимо разработать свой план по внедрению GDPR. Копирование документов конкурентов не спасет вашу компанию от штрафов и прочих рисков.
Для некоторых работ может потребоваться значительный практический опыт или глубокий анализ проблемы. Консультант выполнит эту работу намного быстрее и качественнее.
Мы можем провести бесплатный экспресс-аудит вашей компании, отдельных процессов, продуктов или программного обеспечения на предмет соответствия Общему регламенту защиты персональных данных.
Как показывает практика, в абсолютном большинстве случаев GDPR является золотым стандартом. Вдобавок к этому стандарту мы учитываем и национальные законы.
Мы делаем полное внедрение GDPR под ключ. Юридическая и техническая стороны вопроса по умолчанию входят в план по внедрению принципов Регламента.
К сожалению, такой такой бумаги не существует. Максимально приближённой версией является сертификация ISO27701. И у нас есть большой проект на 6-10 месяцев, по итогу которого мы внедрим стандарт ISO27701 в вашу компанию.
DPO (Data Protection Officer) в первую очередь необходим тем компаниям, которые обрабатывают особую “чувствительную” категорию данных или работают с большим массивом персональных данных. При этом наличие DPO является очень хорошим тоном, спокойствием ваших клиентов и партнеров, которые знаю, что они всегда могут обратиться к нужному человеку для ответов на их запросы.