BMW Group Konzerndatenschutz

BMWGroup Konzerndatenschutz, Februar 2016
BMWGROUP KONZERNDATENSCHUTZ.
PRIVACYIMPACT ASSESSMENTS IN DER PRAXIS
AGENDA.




Datenschutzfolgenabschätzungen in der DS GVO
Datenschutz in der BMWGroup
Datenschutzfolgenabschätzung / Privacy Impact Assessments
Erkenntnisse
4. Münchner Datenschutztag, Februar 2016
Seite 2
DATENSCHUTZFOLGENABSCHÄTZUNG IN DER DS GVO.
ANFORDERUNGEN.
Artikel 33:
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art,
des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die
persönlichen Rechte und Freiheiten zur Folge, so führt der für die Verarbeitung Verantwortliche vorab
eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener
Daten durch.
(3) Die Folgenabschätzung enthält zumindest Folgendes:
(a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten
Interessen;
(b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
(c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1;
(d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der
Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden,
wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener
Rechnung getragen wird.
4. Münchner Datenschutztag, Februar 2016
Seite 3
BMW GROUP KONZERNDATENSCHUTZ.
WELTWEITES PRIVACYMANAGEMENT SYSTEM.
BMWGroup
Privacy Corporate Rules
Minimise
Privacy Compliance Risks
Respect &Trust for customers,
employees & stakeholders
Requirements
Laws, Regulations &
Guidelines
Attractive employer &
sustainable customer relations
Framework Standards
Governance &
Management
Training &
Awareness
Privacy Processes
EU Directive
BCR
Organisation
Awareness
BCR Compliance
Process
Data Inventory &
Interco contracts
BDSG
Safe Harbor
Policies and Notices
Management Training
PIA
Monitoring &
Audits
Local Laws
DP Instruction
Reporting
Training of high risk employees
Vendor
Assessment
Security
Privacy Guidances
WBT Training
Access Requests
& Complaints
Data Breach
Privacy Network
4. Münchner Datenschutztag, Februar 2016
Seite 4
BMW GROUP KONZERNDATENSCHUTZ.
GANZHEITLICHER ANSATZ: PRIVACYBYDESIGN.
- Proactive & Preventative
- Respect for Users
-Demonstrate Corporate
Accountability for Privacy
-Business Engagement
Privacy Assessment as
soon as possible saves
time and costs
Remember
international
rollouts:
Other countries
other laws.
As Proposals develop, or cascade to other locations, further privacy
assessments remain necessary
4. Münchner Datenschutztag, Februar 2016
Seite 5
DATENSCHUTZFOLGENABSCHÄTZUNG IN DER BMWGROUP.
ROLLEN UND VERANTWORTLICHKEITEN.
DPPO is the Enabler
• Assess the Privacy Risk to BMW Group
Privacy standards and local specifics.
• Evaluate potential solutions
• Provide recommendations
Responsible & Decision Maker
• Inform DPPO of project
• Provide the necessary information
regarding the project, processes, data
flows etc
• Implement recommendations
Business Units
and Project
teams
Governance
• Business unit / project lead will be
responsible for overall governance
• Track the open recommendations
• Ensure compliance with BMW Group Privacy
and Security standards
4. Münchner Datenschutztag, Februar 2016
Governance
DPPO (Data Privacy
Protection Officer)
Regional
Cordinator
BMW AG: Assess the Privacy Risk to BMW
Group standards and German specifics as
supplementary.
Regional Coordinator is Facilitator
• Liaise between respective parties to
review relevant projects in the region
• Assist DPPOs with the creation of lawful
solutions
• Facilitate the sharing of privacy relevant
best practises
Seite 6
DATENSCHUTZFOLGENABSCHÄTZUNG IN DER BMWGROUP.
PIA PROCESS: DREISTUFIGER PROZESS.
PIA Pre-screening
1: Request and Pre-screening for Privacy
Risk
DPPO
Business IT
2: First or Lead Privacy Impact
Assessment
3: Supplementary Assessments
4. Münchner Datenschutztag, Februar 2016
Lead Evaluation to BMW
Group Privacy Standards
local
Supplementary
localPIA
PIARequest
Request
Evaluation
…
DPPOs
Seite 7
Pre-screening
DATENSCHUTZFOLGENABSCHÄTZUNG IN DER BMWGROUP.
DETAILS: DREISTUFIGER PROZESS.
Step 1: Request started and proposal
outlined (pre-screening questions).
Request sent to DPPO.
Full PIA Analysis
– Lead or First
Business and IT
DPPO
Step 3: Using Questionnaire, analyze
and provide information flows, usage
etc.
Step 2: Estimate overall Privacy Risk
and whether a full PIA is needed.
Pre-Screening Questions and
Short PIA Statement
Or
Full Questionnaire initiated
DPPO
Step 4: Identify risks and possible
solutions. Suitable recommendations
agreed with Business and IT.
Other locations –
Supplementary
Assessments
Business and IT
DPPO
Questionnaire Completed
PIA Evaluation (report) is completed
Step 6: For Multi-Regional, Local
Departments and Local DPPO informed
Step 7: Local supplemental evaluation
by market DPPO.
Privacy Info Pack
(PIA Evaluations, local project documents)
4. Münchner Datenschutztag, Februar 2016
*The Business Team is used generally to
mean the operational department if existing
process/System. Otherwise Project Team
which is likely both Business and IT
departments.
RC
DPPO
Step 5: IT Governance tracks IT
recommendations. Projects
implement recommendations.
Business and IT
Step 8: Supplemental actions and
measures assigned to project team to
implement.
Business and IT
Seite 8
ERKENNTNISSE.
Seit ca. 5 Jahren werden alle IT-Vorhaben prozesssicher einer
Datenschutzfolgenabschätzung unterzogen:
 Aufbau eines ausführlichen Verfahrensverzeichnisses mit Klassifizierung der
verarbeiteten Daten
 Tracking der definierten Anforderungen in einem Tool und Aufbau eines
Prozesses zum Nachhalten der Umsetzung
 International unterschiedliche Vorgaben verkomplizieren den Prozess
4. Münchner Datenschutztag, Februar 2016
Seite 9
VIELEN DANK!
Dr. Martina
Schollmeyer
Referentin Datenschutz:
Kundendaten, personenbezogene Daten im Fahrzeug,
internationaler Datenaustausch.
BMW AG München
Petuelring 130
80788 München
Tel.:
Mobil:
+49 (89) 382-34347
+49 (151) 601-34347
E-Mail:
[email protected] bmw.de
4. Münchner Datenschutztag, Februar 2016
Seite 10