متطلبات تقييم المورد لتقييم تأثير حماية البيانات
تتطلب المادة 35 من GDPR تقييمات تأثير حماية البيانات للمعالجة التي من المحتمل أن تؤدي إلى مخاطر عالية لحقوق الأفراد وحرياتهم. تقع المعالجة على نطاق واسع للبيانات الشخصية (المادة 35(3)(ب)) ضمن هذا المتطلب. عندما تنشر منظمة أداة إخفاء الهوية لمعالجة البيانات الشخصية على نطاق واسع، يجب أن يقيم تقييم تأثير حماية البيانات الأداة كمعالج بيانات بموجب المادة 28 من GDPR.
تتطلب المادة 28 من معالجي البيانات تقديم "ضمانات كافية لتنفيذ تدابير فنية وتنظيمية مناسبة" وأن تكون المعالجة "محكومة بعقد أو عمل قانوني آخر بموجب قانون الاتحاد أو قانون الدولة العضو." يجب على مسؤول حماية البيانات الذي يكمل تقييم تأثير حماية البيانات لأداة إخفاء الهوية توثيق: تدابير الأمان للأداة، علاقاتها مع المعالجات الفرعية، إقامة البيانات، إجراءات الإخطار عن خرق البيانات، واتفاقية معالجة البيانات التي تحكم العلاقة.
يقلل اعتماد ISO 27001 بشكل كبير من عبء توثيق تقييم تأثير حماية البيانات: وجدت أبحاث BSI (2024) أن المنظمات المعتمدة بموجب ISO 27001 تقلل من وقت استبيانات الأمان بنسبة 73%. وجدت Gartner أن مشتريات الأمان في Fortune 500 تتطلب ISO 27001 في 78% من طلبات تقديم العروض. عندما تكون أداة إخفاء الهوية معتمدة بموجب ISO 27001، يمكن لتقييم تأثير حماية البيانات الإشارة إلى الاعتماد بدلاً من محاولة التحقق بشكل مستقل من ضوابط أمان الأداة.
قائمة مراجعة تقييم المورد بموجب المادة 28
يجب على مسؤولي حماية البيانات الذين يقيمون أداة إخفاء الهوية وفقًا لمتطلبات المادة 28 من GDPR التحقق من:
1. اتفاقية معالجة البيانات: هل هناك اتفاقية معالجة بيانات متوافقة مع GDPR متاحة؟ هل تغطي جميع أحكام المادة 28 المطلوبة: المعالجة فقط بناءً على تعليمات موثقة، التزامات السرية، تدابير الأمان، ضوابط المعالجات الفرعية، مساعدة حقوق موضوع البيانات، الحذف أو الإرجاع عند انتهاء العقد، والتعاون في التدقيق؟
2. توثيق تدابير الأمان: هل تم توثيق التدابير الأمنية الفنية والتنظيمية بطريقة تلبي المادة 32؟ بالنسبة للأدوات المعتمدة بموجب ISO 27001، يوفر الاعتماد وبيان القابلية هذا التوثيق.
3. شفافية المعالجات الفرعية: هل تستخدم الأداة معالجات فرعية؟ هل هي مدرجة ومتاحة؟ تتطلب تغييرات المعالجات الفرعية إخطارًا مسبقًا للجهة المتحكمة. يجب على الأدوات التي تستخدم مزودي بنية تحتية سحابية متعددة (لأغراض التكرار، CDN، إلخ) توثيق كل معالج فرعي.
4. إقامة البيانات: أين تتم معالجة البيانات الشخصية وتخزينها؟ بالنسبة لمسؤولي حماية البيانات المقيمين في الاتحاد الأوروبي، يتطلب إقامة بيانات في الاتحاد الأوروبي أو بنية تحتية ذات معرفة صفرية (لا يتم نقل بيانات شخصية إلى الخوادم). تتطلب الأدوات المقيمة في الولايات المتحدة توثيق SCCs أو BCRs.
5. إخطار خرق البيانات: ما هي إجراءات إخطار الأداة عن الخرق؟ تتطلب المادة 33 من GDPR إخطار السلطة الإشرافية خلال 72 ساعة. تتطلب المادة 28 من المعالجين إخطار الجهات المتحكمة "دون تأخير غير مبرر" بعد أن يصبحوا على علم بخرق - والذي يجب أن يكون قبل بدء العد التنازلي لمدة 72 ساعة.
6. توفر تقييم تأثير حماية البيانات: هل أكمل مزود الأداة تقييم تأثير حماية البيانات الخاص به؟ هل هو متاح للعملاء المؤسسيين لإدراجه في تقييم تأثير حماية البيانات الخاص بالجهة المتحكمة؟ إن مزود الأداة الذي لم يكمل تقييم تأثير حماية البيانات لمعالجته الخاصة يخلق فجوة توثيق في تقييم تأثير حماية البيانات الخاص بالجهة المتحكمة.
7. دعم الحذف وقابلية النقل: هل يمكن للأداة الوفاء بالتزامات المادة 17 (الحذف) والمادة 20 (قابلية النقل)؟ بالنسبة للأدوات ذات المعرفة الصفرية حيث لا يتم تخزين أي بيانات شخصية، قد لا يظهر سؤال الحذف - ولكن يجب على تقييم تأثير حماية البيانات توثيق ذلك.
يمكن لشركة التأمين النمساوية التي تكمل تقييم تأثير حماية البيانات لعملية إخفاء الشكاوى الخاصة بها أن تطلب وتستلم: شهادة ISO 27001، توثيق استضافة الاتحاد الأوروبي، تقييم تأثير حماية البيانات، واتفاقية معالجة البيانات من مزود أداة متوافق. توفر هذه الوثائق الأربعة تغطية كاملة لتقييم تأثير حماية البيانات بموجب المادة 28. تجد مراجعة السلطة الإشرافية أن تقييم تأثير حماية البيانات مكتمل.
المصادر: