Проведение DPIA

В ряде случаев контролер обязан провести Оценку воздействия на защиту персональных данных (Data Protection Impact Assessment - DPIA). Например, при изменении среды, в которой происходит обработка (новое оборудование, ПО, правила обработки), или добавлении новых категорий данных. Вы как контролер также обязаны провести Оценку в следующих ситуациях:

  • преобразование бумажных записей в электронные;
  • объединение нескольких баз данных в одну;
  • включение персональных данных, полученных из коммерческих источников, в существующую базу;
  • внесение изменений в бизнес-процесс, что приведет к сбору и использованию персональных данных;
  • реализация проектов с использованием сторонних поставщиков;
  • изменение характера персональных данных в связи с добавлением новых типов информации.

Цели:

  1. Провести своего рода инвентаризацию обработок, систем и подрядчиков.
  2. Выявить неиспользуемые категории обрабатываемых данных и избавиться от них, снизив тем самым риски для компании.
  3. Выполнить требования ст. 35 GDPR.
  4. Продемонстрировать партнерам, клиентам и сотрудникам своем стремление к соблюдению законов.
Длительность Длительность
Длительность
До 1 недели
Цена Цена
Цена
От 200 евро / час

Этапы работы

dpo
Определение обработки
В ходе общения с вашими сотрудниками мы выявляем контекст и ценность обработки
dpo
Выбор мер контроля
Совместно с вами мы определяем существующие и планируемые контроли (меры), чтобы защитить компанию от рисков
dpo
Выявление рисков
Мы выявляем, называем и оцениваем риски для вашей компании .
dpo
Принятие решения
Вы принимаете риск и план действий или отправляетесь "на новый круг" DPIA

Чек-листы

Клик на "" откроет описание каждого пункта.

Ознакомительный чек-лист
Мы проводим обучение для того, чтобы наши сотрудники понимали необходимость учёта DPIA на ранних этапах любого проекта, затрагивающего персональные данные
Наши текущие принципы деятельности, процессы и процедуры включают ссылки на требования DPIA
Мы знаем типы обработки, которые требуют DPIA, и используем контрольный список проверки для определения необходимости проведения DPIA
Мы создали и задокументировали процесс DPIA
Мы проводим обучение соответствующего персонала в отношении проведения DPIA
Контрольный чек-лист по DPIA
Мы рассматриваем возможность проведения DPIA в любом крупном проекте, затрагивающем использование персональных данных
Мы рассматриваем вопрос о том, стоит ли проводить DPIA, если мы планируем осуществлять:
оценку или подсчет;
автоматизированное принятие решений со значительными последствиями;
систематический мониторинг;
обработку чувствительных данных или данных крайне личного характера;
обработку в крупных масштабах;
обработку данных, уязвимых субъектов данных;
инновационные технологические или организационные решения;
обработку препятствующую осуществлению права или пользованию услугой или контрактом субъектами данных.
Мы всегда проводим DPIA, если мы планируем:
использовать систематическое и обширное профилирование или автоматизированное принятие решений с тем, чтобы принять важное решение в отношении людей;
обрабатывать особую категорию данных или данные в отношении уголовных преступлений в крупных масштабах;
систематически широкомасштабно отслеживать общедоступное место;
использовать инновационные технологии в сочетании с любым из критериев, предусмотренных европейскими директивами;
использовать профилирование, автоматизированное принятие решений или особую категорию данных для того, чтобы помочь принять решение о чьем-либо доступе к услуге, возможности или выгоде;
проводить профилирование в крупных масштабах;
обрабатывать биометрические или генетические данные в сочетании с любым из критериев, предусмотренных европейскими директивами;
объединить, сравнить или сопоставить данные из нескольких источников;
обрабатывать личные данные без предоставления уведомления об обработке персональных данных непосредственно лицу в сочетании с любым из критериев, предусмотренных европейскими директивами;
обрабатывать персональные данные таким образом, который включает отслеживание местоположение или действия лиц онлайн или оффлайн в сочетании с любым из критериев, предусмотренных европейскими директивами;
обрабатывать персональные данные детей для профилирования, автоматизированного принятия решений или в маркетинговых целях, или непосредственно предлагать им онлайн-услуги;
обрабатывать персональные данные, которые могут привести к риску получения физического вреда в случае нарушения безопасности.
Мы проведём новый DPIA в том случае, если произойдёт изменение характера, объема, контекста или целей нашей обработки
Если мы решаем не проводить DPIA, мы предоставляем документы, обосновывающие наши причины для этого
Чек-лист по процессу проведения DPIA
Мы описываем характер, объем, контекст и цели обработки
Мы просим наших процессоров данных помочь нам разобраться и документируем их действия по обработке, определяя любые сопутствующие риски
Мы рассматриваем вопрос о том, как лучше всего консультировать отдельных лиц (или их представителей) и другие соответствующие заинтересованные стороны
Мы спрашиваем совет у нашего инспектора по защите персональных данных
Мы проверяем, является ли обработка необходимой и соразмерной нашим целям, а также описываем каким образом мы обеспечим соблюдение принципов защиты персональных данных
Мы проводим объективную оценку вероятности и тяжести любых рисков для прав и интересов отдельных лиц
Мы определяем меры, которые мы можем применить для устранения или уменьшения высоких рисков
Мы фиксируем наши решения в результатах DPIA, включая любые расхождения во мнениях с нашим инспектором по защите персональных данных или лицами, с которыми мы консультировались
Мы внедряем меры, которые мы определили, и интегрируем их в наш проектный план
Мы консультируемся с надзорным органом перед обработкой в том случае, если мы не можем уменьшить высокие риски
Мы следим за нашими DPIA и при необходимости пересматриваем их
Данный чек-лист поможет удостовериться в том, что вы написали хороший DPIA. Мы:
подтвердили то, что DPIA является обзором обработки, предшествующей GDPR, или охватывает запланированную обработку, включая сроки в обоих случаях;
объяснили, зачем нам нужен DPIA, подробно описав те типы обработки, которые делают его обязательным требованием;
четко, систематически и логически структурировали документ;
с учетом существования аудитории без наличия специальных знаний в данной области, написали DPIA используя простой английский язык, объясняя любые технические термины и аббревиатуры, которые мы использовали;
четко определили взаимоотношения между контроллерами, процессорами, субъектами данных и системами, используя как текстовые диаграммы, так и диаграммы потока данных там, где это необходимо;
обеспечили четкое объяснение и описание специфики любых потоков персональных данных между людьми, системами, организациями и странами;
чётко прописали то, каким образом мы соблюдаем каждый из принципов GDPR, и понятно разъяснили наши законные основания для обработки (а также специальную категорию условий в том случае, когда это уместно);
объяснили то, как мы планируем поддерживать соответствующие информационные права наших субъектов данных;
определили все соответствующие риски для прав и свобод человека, провели оценку их вероятности и серьезности, а также подробно изложил все соответствующие средства предотвращения негативных последствий;
в достаточной мере объяснили то, каким образом любое предлагаемое сокращение последствий уменьшает выявленный риск;
обосновали наше рассмотрение любых менее рискованных альтернатив по достижению тех же целей обработки, и то, почему мы их не выбрали;
дали подробную информацию о консультациях с заинтересованными сторонами (например, c субъектами данных, представительными органами) и включили краткое изложение полученных результатов;
записали советы и рекомендации нашего инспектора по защите персональных данных там, где это было необходимо, и получили одобрение DPIA соответствующими лицами;
согласовали и задокументировали график регулярного или по случаю изменения характера, объема, контекста или целей обработки обзора DPIA;
проконсультировались с надзорным органом на предмет того, имеются ли какие-либо последующие высокие риски, которые мы не можем ослабить.

Доступные консультанты

Data Protection Officer, GDPR консультант
Сертифицированный менеджер в сфере информационной приватности (Certified Information Privacy Manager) с опытом Data Protection Officer в европейских компаниях, в т.ч. ориентированных на приватность и безопасность данных. TÜV сертифицированная DPO
Младший консультант DPO LLC
Bachelor of Laws и GDPR Data Privacy Professional. Специализируется на приведении компаний-клиентов в соответствие 13, 14 и 15 ст. GDPR и аудите имеющихся privacy notices (privacy policy)

Заявка






Расписание курсов загружается, подожди несколько секунд