Проведение DPIA

В ряде случаев контролер обязан провести Оценку воздействия на защиту персональных данных (Data Protection Impact Assessment - DPIA). Например, при изменении среды, в которой происходит обработка (новое оборудование, ПО, правила обработки), или добавлении новых категорий данных. Вы как контролер также обязаны провести Оценку в следующих ситуациях:

  • преобразование бумажных записей в электронные;
  • объединение нескольких баз данных в одну;
  • включение персональных данных, полученных из коммерческих источников, в существующую базу;
  • внесение изменений в бизнес-процесс, что приведет к сбору и использованию персональных данных;
  • реализация проектов с использованием сторонних поставщиков;
  • изменение характера персональных данных в связи с добавлением новых типов информации.

Цели:

  1. Провести своего рода инвентаризацию обработок, систем и подрядчиков.
  2. Выявить неиспользуемые категории обрабатываемых данных и избавиться от них, снизив тем самым риски для компании.
  3. Выполнить требования ст. 35 GDPR.
  4. Продемонстрировать партнерам, клиентам и сотрудникам своем стремление к соблюдению законов.
Длительность Длительность
Длительность
До 1 недели
Цена Цена
Цена
От 200 евро / час

Этапы работы

dpo
Определение обработки
В ходе общения с вашими сотрудниками мы выявляем контекст и ценность обработки
dpo
Выбор мер контроля
Совместно с вами мы определяем существующие и планируемые контроли (меры), чтобы защитить компанию от рисков
dpo
Выявление рисков
Мы выявляем, называем и оцениваем риски для вашей компании .
dpo
Принятие решения
Вы принимаете риск и план действий или отправляетесь "на новый круг" DPIA

Чек-листы

Клик на "" откроет описание каждого пункта.

Ознакомительный чек-лист
Мы проводим обучение для того, чтобы наши сотрудники понимали необходимость учёта DPIA на ранних этапах любого проекта, затрагивающего персональные данные
Наши текущие принципы деятельности, процессы и процедуры включают ссылки на требования DPIA
Мы знаем типы обработки, которые требуют DPIA, и используем контрольный список проверки для определения необходимости проведения DPIA
Мы создали и задокументировали процесс DPIA
Мы проводим обучение соответствующего персонала в отношении проведения DPIA
Контрольный чек-лист по DPIA
Мы рассматриваем возможность проведения DPIA в любом крупном проекте, затрагивающем использование персональных данных
Мы рассматриваем вопрос о том, стоит ли проводить DPIA, если мы планируем осуществлять:
оценку или подсчет;
автоматизированное принятие решений со значительными последствиями;
систематический мониторинг;
обработку чувствительных данных или данных крайне личного характера;
обработку в крупных масштабах;
обработку данных, уязвимых субъектов данных;
инновационные технологические или организационные решения;
обработку препятствующую осуществлению права или пользованию услугой или контрактом субъектами данных.
Мы всегда проводим DPIA, если мы планируем:
использовать систематическое и обширное профилирование или автоматизированное принятие решений с тем, чтобы принять важное решение в отношении людей;
обрабатывать особую категорию данных или данные в отношении уголовных преступлений в крупных масштабах;
систематически широкомасштабно отслеживать общедоступное место;
использовать инновационные технологии в сочетании с любым из критериев, предусмотренных европейскими директивами;
использовать профилирование, автоматизированное принятие решений или особую категорию данных для того, чтобы помочь принять решение о чьем-либо доступе к услуге, возможности или выгоде;
проводить профилирование в крупных масштабах;
обрабатывать биометрические или генетические данные в сочетании с любым из критериев, предусмотренных европейскими директивами;
объединить, сравнить или сопоставить данные из нескольких источников;
обрабатывать личные данные без предоставления уведомления об обработке персональных данных непосредственно лицу в сочетании с любым из критериев, предусмотренных европейскими директивами;
обрабатывать персональные данные таким образом, который включает отслеживание местоположение или действия лиц онлайн или оффлайн в сочетании с любым из критериев, предусмотренных европейскими директивами;
обрабатывать персональные данные детей для профилирования, автоматизированного принятия решений или в маркетинговых целях, или непосредственно предлагать им онлайн-услуги;
обрабатывать персональные данные, которые могут привести к риску получения физического вреда в случае нарушения безопасности.
Мы проведём новый DPIA в том случае, если произойдёт изменение характера, объема, контекста или целей нашей обработки
Если мы решаем не проводить DPIA, мы предоставляем документы, обосновывающие наши причины для этого
Чек-лист по процессу проведения DPIA
Мы описываем характер, объем, контекст и цели обработки
Мы просим наших процессоров данных помочь нам разобраться и документируем их действия по обработке, определяя любые сопутствующие риски
Мы рассматриваем вопрос о том, как лучше всего консультировать отдельных лиц (или их представителей) и другие соответствующие заинтересованные стороны
Мы спрашиваем совет у нашего инспектора по защите персональных данных
Мы проверяем, является ли обработка необходимой и соразмерной нашим целям, а также описываем каким образом мы обеспечим соблюдение принципов защиты персональных данных
Мы проводим объективную оценку вероятности и тяжести любых рисков для прав и интересов отдельных лиц
Мы определяем меры, которые мы можем применить для устранения или уменьшения высоких рисков
Мы фиксируем наши решения в результатах DPIA, включая любые расхождения во мнениях с нашим инспектором по защите персональных данных или лицами, с которыми мы консультировались
Мы внедряем меры, которые мы определили, и интегрируем их в наш проектный план
Мы консультируемся с надзорным органом перед обработкой в том случае, если мы не можем уменьшить высокие риски
Мы следим за нашими DPIA и при необходимости пересматриваем их
Данный чек-лист поможет удостовериться в том, что вы написали хороший DPIA. Мы:
подтвердили то, что DPIA является обзором обработки, предшествующей GDPR, или охватывает запланированную обработку, включая сроки в обоих случаях;
объяснили, зачем нам нужен DPIA, подробно описав те типы обработки, которые делают его обязательным требованием;
четко, систематически и логически структурировали документ;
с учетом существования аудитории без наличия специальных знаний в данной области, написали DPIA используя простой английский язык, объясняя любые технические термины и аббревиатуры, которые мы использовали;
четко определили взаимоотношения между контроллерами, процессорами, субъектами данных и системами, используя как текстовые диаграммы, так и диаграммы потока данных там, где это необходимо;
обеспечили четкое объяснение и описание специфики любых потоков персональных данных между людьми, системами, организациями и странами;
чётко прописали то, каким образом мы соблюдаем каждый из принципов GDPR, и понятно разъяснили наши законные основания для обработки (а также специальную категорию условий в том случае, когда это уместно);
объяснили то, как мы планируем поддерживать соответствующие информационные права наших субъектов данных;
определили все соответствующие риски для прав и свобод человека, провели оценку их вероятности и серьезности, а также подробно изложил все соответствующие средства предотвращения негативных последствий;
в достаточной мере объяснили то, каким образом любое предлагаемое сокращение последствий уменьшает выявленный риск;
обосновали наше рассмотрение любых менее рискованных альтернатив по достижению тех же целей обработки, и то, почему мы их не выбрали;
дали подробную информацию о консультациях с заинтересованными сторонами (например, c субъектами данных, представительными органами) и включили краткое изложение полученных результатов;
записали советы и рекомендации нашего инспектора по защите персональных данных там, где это было необходимо, и получили одобрение DPIA соответствующими лицами;
согласовали и задокументировали график регулярного или по случаю изменения характера, объема, контекста или целей обработки обзора DPIA;
проконсультировались с надзорным органом на предмет того, имеются ли какие-либо последующие высокие риски, которые мы не можем ослабить.

Доступные консультанты

Мария Арнст CIPM, TÜV, Strategic Privacy by Design, DPP
Data Protection Officer, GDPR консультант, исследовательница в области приватности
Сертифицирована как менеджер в сфере информационной приватности (Certified Information Privacy Manager), член международной ассоциации IAPP с опытом DPO в европейских компаниях. Сертифицированный TÜV DPO в Германии. Прошла обучение по программе “Strategic Privacy by Design”.
Павел Лозовенко LLB, GDPR DPP, Strategic Privacy by Design
Консультант по GDPR
Бакалавр права, GDPR Data Privacy Professional. Специализируется на оформлении контрактных отношений по Data Processing Agreements, разработке и аудите privacy notice (privacy policy), работе с Data Subject Access Requests. Поможет провести DPIA, LIA. Прошел обучение по программе «Strategic Privacy by Design».

Заявка






Расписание курсов загружается, подожди несколько секунд