BMW GROUP KONZERNDATENSCHUTZ.

Transkript

1 BMW Group Konzerndatenschutz, Februar 2016 BMW GROUP KONZERNDATENSCHUTZ. PRIVACY IMPACT ASSESSMENTS IN DER PRAXIS

2 AGENDA. Datenschutzfolgenabschätzungen in der DS GVO Datenschutz in der BMW Group Datenschutzfolgenabschätzung / Privacy Impact Assessments Erkenntnisse Seite 2

3 DATENSCHUTZFOLGENABSCHÄTZUNG IN DER DS GVO. ANFORDERUNGEN. Artikel 33: (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, so führt der für die Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. (3) Die Folgenabschätzung enthält zumindest Folgendes: (a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen; (b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; (c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1; (d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Seite 3

4 BMW GROUP KONZERNDATENSCHUTZ. WELTWEITES PRIVACY MANAGEMENT SYSTEM. BMW Group Privacy Corporate Rules Minimise Privacy Compliance Risks Requirements Laws, Regulations & Guidelines EU Directive BCR Respect &Trust for customers, employees & stakeholders Governance & Management Organisation Framework Standards Training & Awareness Awareness Attractive employer & sustainable customer relations Privacy Processes BCR Compliance Process Data Inventory & Interco contracts BDSG Safe Harbor Policies and Notices Management Training PIA Monitoring & Audits Local Laws DP Instruction Reporting Training of high risk employees Vendor Assessment Security Privacy Guidances WBT Training Access Requests & Complaints Data Breach Privacy Network Seite 4

5 BMW GROUP KONZERNDATENSCHUTZ. GANZHEITLICHER ANSATZ: PRIVACY BY DESIGN. Privacy Assessment as soon as possible saves time and costs - Proactive & Preventative - Respect for Users -Demonstrate Corporate Accountability for Privacy -Business Engagement Remember international rollouts: Other countries other laws. As Proposals develop, or cascade to other locations, further privacy assessments remain necessary Seite 5

6 DATENSCHUTZFOLGENABSCHÄTZUNG IN DER BMW GROUP. ROLLEN UND VERANTWORTLICHKEITEN. Responsible & Decision Maker Inform DPPO of project Provide the necessary information regarding the project, processes, data flows etc Implement recommendations Business Units and Project teams DPPO (Data Privacy Protection Officer) DPPO is the Enabler Assess the Privacy Risk to BMW Group Privacy standards and local specifics. Evaluate potential solutions Provide recommendations BMW AG: Assess the Privacy Risk to BMW Group standards and German specifics as supplementary. Governance Business unit / project lead will be responsible for overall governance Track the open recommendations Ensure compliance with BMW Group Privacy and Security standards Governance Regional Cordinator Regional Coordinator is Facilitator Liaise between respective parties to review relevant projects in the region Assist DPPOs with the creation of lawful solutions Facilitate the sharing of privacy relevant best practises Seite 6

7 DATENSCHUTZFOLGENABSCHÄTZUNG IN DER BMW GROUP. PIA PROCESS: DREISTUFIGER PROZESS. PIA Pre-screening 1: Request and Pre-screening for Privacy Risk Business IT DPPO 2: First or Lead Privacy Impact Assessment Lead Evaluation to BMW Group Privacy Standards 3: Supplementary Assessments local local PIA Supplementary PIA Request Request Evaluation DPPOs Seite 7

8 DATENSCHUTZFOLGENABSCHÄTZUNG IN DER BMW GROUP. DETAILS: DREISTUFIGER PROZESS. Pre-screening Step 1: Request started and proposal outlined (pre-screening questions). Request sent to DPPO. Step 2: Estimate overall Privacy Risk and whether a full PIA is needed. Pre-Screening Questions and Short PIA Statement Or Full Questionnaire initiated *The Business Team is used generally to mean the operational department if existing process/system. Otherwise Project Team which is likely both Business and IT departments. Business and IT DPPO DPPO Full PIA Analysis Lead or First Step 3: Using Questionnaire, analyze and provide information flows, usage etc. Step 4: Identify risks and possible solutions. Suitable recommendations agreed with Business and IT. Step 5: IT Governance tracks IT recommendations. Projects implement recommendations. Business and IT Questionnaire Completed DPPO PIA Evaluation (report) is completed Business and IT Other locations Supplementary Assessments Step 6: For Multi-Regional, Local Departments and Local DPPO informed Privacy Info Pack (PIA Evaluations, local project documents) Step 7: Local supplemental evaluation by market DPPO. RC DPPO Step 8: Supplemental actions and measures assigned to project team to implement. Business and IT Seite 8

9 ERKENNTNISSE. Seit ca. 5 Jahren werden alle IT-Vorhaben prozesssicher einer Datenschutzfolgenabschätzung unterzogen: Aufbau eines ausführlichen Verfahrensverzeichnisses mit Klassifizierung der verarbeiteten Daten Tracking der definierten Anforderungen in einem Tool und Aufbau eines Prozesses zum Nachhalten der Umsetzung International unterschiedliche Vorgaben verkomplizieren den Prozess Seite 9

10 VIELEN DANK! Dr. Martina Schollmeyer Referentin Datenschutz: Kundendaten, personenbezogene Daten im Fahrzeug, internationaler Datenaustausch. BMW AG München Petuelring München Tel.: +49 (89) Mobil: +49 (151) bmw.de Seite 10