BMWGroup Konzerndatenschutz, Februar 2016 BMWGROUP KONZERNDATENSCHUTZ. PRIVACYIMPACT ASSESSMENTS IN DER PRAXIS AGENDA. Datenschutzfolgenabschätzungen in der DS GVO Datenschutz in der BMWGroup Datenschutzfolgenabschätzung / Privacy Impact Assessments Erkenntnisse 4. Münchner Datenschutztag, Februar 2016 Seite 2 DATENSCHUTZFOLGENABSCHÄTZUNG IN DER DS GVO. ANFORDERUNGEN. Artikel 33: (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, so führt der für die Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. (3) Die Folgenabschätzung enthält zumindest Folgendes: (a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen; (b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; (c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1; (d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. 4. Münchner Datenschutztag, Februar 2016 Seite 3 BMW GROUP KONZERNDATENSCHUTZ. WELTWEITES PRIVACYMANAGEMENT SYSTEM. BMWGroup Privacy Corporate Rules Minimise Privacy Compliance Risks Respect &Trust for customers, employees & stakeholders Requirements Laws, Regulations & Guidelines Attractive employer & sustainable customer relations Framework Standards Governance & Management Training & Awareness Privacy Processes EU Directive BCR Organisation Awareness BCR Compliance Process Data Inventory & Interco contracts BDSG Safe Harbor Policies and Notices Management Training PIA Monitoring & Audits Local Laws DP Instruction Reporting Training of high risk employees Vendor Assessment Security Privacy Guidances WBT Training Access Requests & Complaints Data Breach Privacy Network 4. Münchner Datenschutztag, Februar 2016 Seite 4 BMW GROUP KONZERNDATENSCHUTZ. GANZHEITLICHER ANSATZ: PRIVACYBYDESIGN. - Proactive & Preventative - Respect for Users -Demonstrate Corporate Accountability for Privacy -Business Engagement Privacy Assessment as soon as possible saves time and costs Remember international rollouts: Other countries other laws. As Proposals develop, or cascade to other locations, further privacy assessments remain necessary 4. Münchner Datenschutztag, Februar 2016 Seite 5 DATENSCHUTZFOLGENABSCHÄTZUNG IN DER BMWGROUP. ROLLEN UND VERANTWORTLICHKEITEN. DPPO is the Enabler • Assess the Privacy Risk to BMW Group Privacy standards and local specifics. • Evaluate potential solutions • Provide recommendations Responsible & Decision Maker • Inform DPPO of project • Provide the necessary information regarding the project, processes, data flows etc • Implement recommendations Business Units and Project teams Governance • Business unit / project lead will be responsible for overall governance • Track the open recommendations • Ensure compliance with BMW Group Privacy and Security standards 4. Münchner Datenschutztag, Februar 2016 Governance DPPO (Data Privacy Protection Officer) Regional Cordinator BMW AG: Assess the Privacy Risk to BMW Group standards and German specifics as supplementary. Regional Coordinator is Facilitator • Liaise between respective parties to review relevant projects in the region • Assist DPPOs with the creation of lawful solutions • Facilitate the sharing of privacy relevant best practises Seite 6 DATENSCHUTZFOLGENABSCHÄTZUNG IN DER BMWGROUP. PIA PROCESS: DREISTUFIGER PROZESS. PIA Pre-screening 1: Request and Pre-screening for Privacy Risk DPPO Business IT 2: First or Lead Privacy Impact Assessment 3: Supplementary Assessments 4. Münchner Datenschutztag, Februar 2016 Lead Evaluation to BMW Group Privacy Standards local Supplementary localPIA PIARequest Request Evaluation … DPPOs Seite 7 Pre-screening DATENSCHUTZFOLGENABSCHÄTZUNG IN DER BMWGROUP. DETAILS: DREISTUFIGER PROZESS. Step 1: Request started and proposal outlined (pre-screening questions). Request sent to DPPO. Full PIA Analysis – Lead or First Business and IT DPPO Step 3: Using Questionnaire, analyze and provide information flows, usage etc. Step 2: Estimate overall Privacy Risk and whether a full PIA is needed. Pre-Screening Questions and Short PIA Statement Or Full Questionnaire initiated DPPO Step 4: Identify risks and possible solutions. Suitable recommendations agreed with Business and IT. Other locations – Supplementary Assessments Business and IT DPPO Questionnaire Completed PIA Evaluation (report) is completed Step 6: For Multi-Regional, Local Departments and Local DPPO informed Step 7: Local supplemental evaluation by market DPPO. Privacy Info Pack (PIA Evaluations, local project documents) 4. Münchner Datenschutztag, Februar 2016 *The Business Team is used generally to mean the operational department if existing process/System. Otherwise Project Team which is likely both Business and IT departments. RC DPPO Step 5: IT Governance tracks IT recommendations. Projects implement recommendations. Business and IT Step 8: Supplemental actions and measures assigned to project team to implement. Business and IT Seite 8 ERKENNTNISSE. Seit ca. 5 Jahren werden alle IT-Vorhaben prozesssicher einer Datenschutzfolgenabschätzung unterzogen: Aufbau eines ausführlichen Verfahrensverzeichnisses mit Klassifizierung der verarbeiteten Daten Tracking der definierten Anforderungen in einem Tool und Aufbau eines Prozesses zum Nachhalten der Umsetzung International unterschiedliche Vorgaben verkomplizieren den Prozess 4. Münchner Datenschutztag, Februar 2016 Seite 9 VIELEN DANK! Dr. Martina Schollmeyer Referentin Datenschutz: Kundendaten, personenbezogene Daten im Fahrzeug, internationaler Datenaustausch. BMW AG München Petuelring 130 80788 München Tel.: Mobil: +49 (89) 382-34347 +49 (151) 601-34347 E-Mail: martina.schollmeyer@ bmw.de 4. Münchner Datenschutztag, Februar 2016 Seite 10
© Copyright 2024 ExpyDoc
