Защо длъжностните лица по защита на данните трябва да проверяват инструментите за анонимизиране
GDPR изисква Оценка на въздействието върху защитата на данните (DPIA) за работа с висок риск. Мащабната обработка на лични данни е с висок риск. Инструментът за анонимизиране е обработващ данни. Той попада под правилата за обработващи. Трябва да го оцените преди пускането в действие.
Необходими са две неща. Обработващите трябва да предлагат "достатъчни гаранции" за сигурност. Цялата обработка трябва да се управлява от писмен договор. Като длъжностно лице по защита на данните, документирайте мерките за сигурност на инструмента, неговите подобработващи, мястото, където съхранява вашите файлове, начина на обработка на нарушения и споразумението за обработка на данни (DPA).
Сертификацията по ISO 27001 намалява работата. BSI установи, че сертифицираните компании намаляват времето за въпросници за сигурност с 73%. Gartner установи, че ISO 27001 се изисква в 78% от търговете на Fortune 500. Сертифициран инструмент ви позволява да се позовете на сертификата. Не е необходимо да проверявате всяка мярка ръчно. Несертифицираните инструменти изискват по-задълбочен ръчен преглед.
Вижте нашия преглед на съответствието и страницата за сигурност, за да разберете как изпълняваме тези изисквания.
Седем неща за проверка
Използвайте този списък за всеки инструмент или доставчик за анонимизиране.
1. Споразумение за обработка на данни. Налице ли е споразумение DPA, съответстващо на GDPR? То трябва да обхваща: обработка само по ваши инструкции, дължима грижа, мерки за сигурност, контрол на подобработващите, помощ при искания за права, унищожаване или връщане на файлове и права на одит.
2. Документация за сигурност. Документирани ли са мерките за сигурност? Сертифицираните доставчици по ISO 27001 могат да посочат своя сертификат и Декларацията за приложимост. Това изпълнява изискването.
3. Списък на подобработващите. Използва ли инструментът подобработващи? Посочени ли са те по имена? Необходимо е предварително уведомление при всяка промяна. Облачни хостове, CDN мрежи и OCR инструменти -- всички се броят. Липсващите имена са честа пропаст.
4. Местоположение на файловете. Данните ви хоствани ли са в ЕС? Хостингът в ЕС е най-лесният вариант за компании с база в ЕС. Инструментите с нулево знание са също приемливи -- никакви файлове не напускат вашето устройство. Доставчиците от САЩ се нуждаят от Стандартни договорни клаузи (SCC).
5. Уведомяване при нарушение. Колко бързо доставчикът ще ви уведоми за нарушение? Законът изисква уведомяване на надзорния орган в рамките на 72 часа. Доставчикът трябва да ви предупреди преди това. Проверете дали DPA потвърждава това.
6. DPIA на доставчика. Изготвил ли е доставчикът собствена DPIA? Можете ли да я прочетете? Липсата на DPIA означава пропуск в собствената ви документация. Това е честа слабост.
7. Изтриване и преносимост. Може ли доставчикът да обработва искания за изтриване и преносимост? Инструментите с нулево знание не съхраняват файлове, поради което изтриването може да не се прилага. DPIA трябва да посочва това.
Добрият доставчик ви предоставя четири документа: сертификат по ISO 27001, доказателство за хостинг в ЕС, собствена DPIA и подписан DPA. Тези четири документа запълват всяка пропаст в собствената ви DPIA. Надзорният орган ще бъде удовлетворен.
Прочетете нашия FAQ за DPO за чести въпроси относно проверката на доставчици.