DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Проведение DPIA

Закажите услугу по оценке воздействия на защиту персональных данных для вашей компании.

 

 

 

Оценка воздействия на защиту персональных данных (Data Protection Impact Assessment — DPIA) — процедура, предусмотренная ст. 35 GDPR. Она заключается в выявлении и описании всех процессов работы с персональными данными внутри компании. DPIA проводится для оценки рисков негативного воздействия на данные, поиска наиболее уязвимых мест в системе защиты, но главное — для выработки действий по недопущению утечек и ошибок. 

 

Результатом проведения DPIA является сводная таблица, в которой описаны:

  • категории, цели, объемы персональных данных, которые обрабатывает компания;
  • процессы их сбора и обработки;
  • сотрудники и подрядчики, принимающие участие в процессе;
  • выявленные риски, слабые места и возможные угрозы;
  • запланированные действия в случае нарушения приватности.

 

Проведение DPIA необходимо в двух случаях: либо непосредственно перед началом сбора и обработки персональных данных, либо в случае существенных изменений в уже исследованных процессах компании. К примеру, если вы запускаете новый продукт, то обязаны провести DPIA для оценки рисков, связанных с обработкой персональных данных. Или же, проведение Оценки необходимо при изменении среды, в которой происходит обработка (внедрение нового оборудования, ПО, правил обработки), или при добавлении новых категорий данных в уже отлаженный процесс.

Кроме этого, провести Оценку необходимо в следующих ситуациях:

1.Преобразование бумажных записей и документов в электронные.

2. Объединение нескольких баз данных в одну.

3. Включение персональных данных, полученных из коммерческих источников, в существующую базу компании.

4. Внесение изменений в бизнес-процесс, что приведет к сбору и использованию персональных данных.

5. Реализация проектов с использованием сторонних поставщиков.

6. Изменение характера персональных данных в связи с добавлением новых типов информации.

7. Добавление новых функций в существующий продукт или услугу.

 

Регламент не устанавливает четкой периодичности проведения DPIA, поскольку его частота напрямую зависит от деятельности компании. По замыслу создателей Регламента, каждый раз, когда вы приступаете к новому проекту, связанному с персональными данными, вы должны провести DPIA.   

Интервьюирование сотрудников, анализ документов, поиск и детальное описание бизнес-процессов, несущих риски для приватности пользователей — долгий и муторный процесс, требующий внимания к мелочам. 

Мы предлагаем не тратить время на поиск зарытой собаки, а обратиться за помощью к сертифицированным специалистам в области защиты персональных данных, которые провели не один десяток Data Protection Impact Assessment и знают все подводные камни этой процедуры.

 

Длительность Длительность
Длительность
До 1 недели
Цена Цена
Цена
От 200 евро/час

Консультанты

Мария Арнст CIPM, TÜV, Strategic Privacy by Design, DPP
Data Protection Officer, GDPR консультант, исследовательница в области приватности
Сертифицирована как менеджер в сфере информационной приватности (Certified Information Privacy Manager), член международной ассоциации IAPP с опытом DPO в европейских компаниях. Сертифицированный TÜV DPO в Германии. Прошла обучение по программе “Strategic Privacy by Design”.
Павел Лозовенко LLB, GDPR DPP, Strategic Privacy by Design
Консультант по GDPR
Бакалавр права, GDPR Data Privacy Professional. Специализируется на оформлении контрактных отношений по Data Processing Agreements, разработке и аудите privacy notice (privacy policy), работе с Data Subject Access Requests. Поможет провести DPIA, LIA. Прошел обучение по программе «Strategic Privacy by Design».

Цели

dpo
Выполнить требования ст. 35 GDPR.
dpo
Провести полную инвентаризацию обработок, систем и подрядчиков.
dpo
Выявить неиспользуемые категории обрабатываемых данных и избавиться от них, снизив тем самым штрафы по GDPR для компании.
dpo
Продемонстрировать партнерам, клиентам и сотрудникам свое стремление к соблюдению законов.

Этапы работы

 

Шаг 1. Выявление контекста, ценности и объема обработки.

Шаг 2. Выявление и анализ средств, позволяющих субъектам данных воспользоваться своими правами.

Шаг 3. Анализ внедренных механизмов защиты персональных данных.

Шаг 4. Выявление действующих в обработке лиц в зоне риска, источников угроз и возможных нарушений приватности.

Шаг 5. Оценка вероятности риска и серьезности последствий для субъектов данных.

Шаг 6. Подбор тактик для минимизации риска, определение плана действий, сроков и ответственных.

 

Что вы получите, завершив DPIA?

✓ Соблюдение ст. 35 Регламента для проверки надзорного органа.

✓ Таблицу с описанием движения всех персональных данных для дальнейшей работы по достижению комплаенса.

✓ Заключение о проведенном DPIA для демонстрации клиентам и партнерам соблюдения вашей компанией GDPR.

Чек-листы DPIA

Наши консультанты разработали несколько чек-листов DPIA для соответствия GDPR:

ОЗНАКОМИТЕЛЬНЫЙ ЧЕК-ЛИСТ

1.Проводим обучение для того, чтобы наши сотрудники понимали необходимость учёта DPIA на ранних этапах любого проекта, затрагивающего персональные данные.

2.Наши текущие принципы деятельности, процессы и процедуры включают ссылки на требования DPIA.

3.Мы знаем типы обработки, которые требуют DPIA, и используем контрольный список проверки для определения необходимости проведения DPIA.

4.Мы создали и задокументировали процесс DPIA.

5.Мы проводим обучение соответствующего персонала в отношении проведения DPIA.

КОНТРОЛЬНЫЙ ЧЕК-ЛИСТ ПО DPIA

1.Мы рассматриваем возможность проведения DPIA в любом крупном проекте, затрагивающем использование персональных данных.

2.Мы рассматриваем вопрос о том, стоит ли проводить DPIA, если планируем осуществлять:

  • оценку или подсчет;
  • автоматизированное принятие решений со значительными последствиями;
  • систематический мониторинг;
  • обработку чувствительных данных или данных крайне личного характера;
  • обработку в крупных масштабах;
  • обработку данных, уязвимых субъектов данных;
  • инновационные технологические или организационные решения;
  • обработку препятствующую осуществлению права или пользованию услугой или
  • контрактом субъектами данных.

3.Мы всегда проводим DPIA, если планируем:

  • использовать систематическое и обширное профилирование или автоматизированное принятие решений с тем, чтобы принять важное решение в отношении людей;
  • обрабатывать особую категорию данных или данные в отношении уголовных
  • преступлений в крупных масштабах;
  • систематически широкомасштабно отслеживать общедоступное место;
    использовать инновационные технологии в сочетании с любым из критериев, предусмотренных европейскими директивами;
  • использовать профилирование, автоматизированное принятие решений или особую категорию данных для того, чтобы помочь принять решение о чьем-либо доступе к услуге, возможности или выгоде;
  • проводить профилирование в крупных масштабах;
  • обрабатывать биометрические или генетические данные в сочетании с любым из критериев, предусмотренных европейскими директивами;
  • объединить, сравнить или сопоставить данные из нескольких источников;
    обрабатывать личные данные без предоставления уведомления об обработке персональных данных непосредственно лицу в сочетании с любым из критериев,
  • предусмотренных европейскими директивами;
  • обрабатывать персональные данные таким образом, который включает отслеживание местоположение или действия лиц онлайн или оффлайн в сочетании с любым из критериев, предусмотренных европейскими директивами;
  • обрабатывать персональные данные детей для профилирования, автоматизированного принятия решений или в маркетинговых целях, или непосредственно предлагать им онлайн-услуги;
  • обрабатывать персональные данные, которые могут привести к риску получения физического вреда в случае нарушения безопасности.

4.Мы проведём новый DPIA в том случае, если произойдёт изменение характера, объема, контекста или целей нашей обработки.

5.Если мы решаем не проводить DPIA, мы предоставляем документы, обосновывающие наши причины для этого.

ЧЕК-ЛИСТ ПО ПРОЦЕССУ ПРОВЕДЕНИЯ DPIA

1.Мы описываем характер, объем, контекст и цели обработки.

2.Мы просим наших процессоров данных помочь нам разобраться и документируем их действия по обработке, определяя любые сопутствующие риски.

3.Мы рассматриваем вопрос о том, как лучше всего консультировать отдельных лиц (или их представителей) и другие соответствующие заинтересованные стороны.

4.Мы спрашиваем совет у нашего инспектора по защите персональных данных.

5.Мы проверяем, является ли обработка необходимой и соразмерной нашим целям, а также описываем каким образом мы обеспечим соблюдение принципов защиты персональных данных.

6.Мы проводим объективную оценку вероятности и тяжести любых рисков для прав и интересов отдельных лиц.

7.Мы определяем меры, которые мы можем применить для устранения или уменьшения высоких рисков.

8.Мы фиксируем наши решения в результатах DPIA, включая любые расхождения во мнениях с нашим инспектором по защите персональных данных или лицами, с которыми мы консультировались.

9.Мы внедряем меры, которые мы определили, и интегрируем их в наш проектный план.

10.Мы консультируемся с надзорным органом перед обработкой в том случае, если мы не можем уменьшить высокие риски.

11.Мы следим за нашими DPIA и при необходимости пересматриваем их.

ДАННЫЙ ЧЕК-ЛИСТ ПОМОЖЕТ УДОСТОВЕРИТЬСЯ В ТОМ, ЧТО ВЫ НАПИСАЛИ ХОРОШИЙ DPIA. МЫ:
  • подтвердили то, что DPIA является обзором обработки, предшествующей GDPR, или охватывает запланированную обработку, включая сроки в обоих случаях;
  • объяснили, зачем нам нужен DPIA, подробно описав те типы обработки, которые делают его обязательным требованием;
    четко, систематически и логически структурировали документ;
  • с учетом существования аудитории без наличия специальных знаний в данной области, написали DPIA используя простой английский язык, объясняя любые технические термины и аббревиатуры, которые мы использовали;
  • четко определили взаимоотношения между контроллерами, процессорами, субъектами данных и системами, используя как текстовые диаграммы, так и диаграммы потока данных там, где это необходимо;
  • обеспечили четкое объяснение и описание специфики любых потоков персональных данных между людьми, системами, организациями и странами;
  • чётко прописали то, каким образом мы соблюдаем каждый из принципов GDPR, и понятно разъяснили наши законные основания для обработки (а также специальную категорию условий в том случае, когда это уместно);
  • объяснили то, как мы планируем поддерживать соответствующие информационные права наших субъектов данных;
  • определили все соответствующие риски для прав и свобод человека, провели оценку их вероятности и серьезности, а также подробно изложил все соответствующие средства предотвращения негативных последствий;
  • в достаточной мере объяснили то, каким образом любое предлагаемое сокращение последствий уменьшает выявленный риск;
  • обосновали наше рассмотрение любых менее рискованных альтернатив по достижению тех же целей обработки, и то, почему мы их не выбрали;
  • дали подробную информацию о консультациях с заинтересованными сторонами (например, c субъектами данных, представительными органами) и включили краткое изложение полученных результатов;
  • записали советы и рекомендации нашего инспектора по защите персональных данных там, где это было необходимо, и получили одобрение DPIA соответствующими лицами;
  • согласовали и задокументировали график регулярного или по случаю изменения характера, объема, контекста или целей обработки обзора DPIA;
  • проконсультировались с надзорным органом на предмет того, имеются ли какие-либо последующие высокие риски, которые мы не можем ослабить.

Оставить заявку










    Расписание курсов загружается, подожди несколько секунд