Изискването за оценка на доставчика DPIA
GDPR Член 35 изисква оценки на въздействието върху защитата на данните за обработка, която е вероятно да доведе до висок риск за правата и свободите на лицата. Обработката на лични данни в голям мащаб (член 35, параграф 3, буква б)) попада в обхвата на това изискване. Когато една организация внедри инструмент за анонимизиране за широкомащабна обработка на PII, DPIA трябва да оцени инструмента като процесор за данни съгласно GDPR член 28.
Член 28 изисква обработващите данни да предоставят „достатъчни гаранции за прилагане на подходящи технически и организационни мерки“ и обработването да се „урежда от договор или друг правен акт съгласно правото на Съюза или правото на държава членка“. DPO, което попълва DPIA за инструмент за анонимизиране, трябва да документира: мерките за сигурност на инструмента, неговите взаимоотношения с подпроцесора, пребиваването на данните му, процедурите за уведомяване за нарушаване на данните и споразумението за обработка на данни, което урежда връзката.
Сертифицирането по ISO 27001 значително намалява тежестта на документацията на DPIA: изследване на BSI (2024) установи, че сертифицираните по ISO 27001 организации намаляват времето за въпросник за сигурност с 73%. Gartner установи, че доставките на сигурност на Fortune 500 изискват ISO 27001 в 78% от RFPs. Когато инструментът за анонимизиране е сертифициран по ISO 27001, DPIA може да се позовава на сертификата, вместо да се опитва независимо да провери контролите за сигурност на инструмента.
Контролният списък за оценка на доставчика по член 28
DPO, които оценяват инструмент за анонимизиране спрямо изискванията на член 28 от GDPR, трябва да проверят:
1. Споразумение за обработка на данни: Наличен ли е DPA, съвместим със GDPR? Обхваща ли всички необходими разпоредби на член 28: обработване само по документирани инструкции, задължения за поверителност, мерки за сигурност, контрол на подизпълнителя, съдействие за правата на субекта на данни, изтриване или връщане след изтичане на договора и сътрудничество при одит?
2. Документиране на мерките за сигурност: Техническите и организационните мерки за сигурност документирани ли са по начин, който отговаря на член 32? За инструменти, сертифицирани по ISO 27001, сертификацията и Декларацията за приложимост предоставят тази документация.
3. Прозрачност на подпроцесора: Инструментът използва ли подпроцесори? Изброени ли са и достъпни ли са? Промените в подпроцесора изискват предварително уведомяване на контролера. Инструментите, използващи множество доставчици на облачна инфраструктура (за резервиране, CDN и т.н.), трябва да документират всеки подпроцесор.
4. Резиденция на данните: Къде се обработват и съхраняват личните данни? За базирани в ЕС DPO се изисква пребиваване на данни в ЕС или архитектура с нулево знание (без лични данни, предавани на сървъри). Базираните в САЩ инструменти изискват документирани SCC или BCR.
5. Известие за нарушение на данните: Какви са процедурите за уведомяване за нарушение на инструмента? GDPR Член 33 изисква уведомяване на надзорния орган в рамките на 72 часа. Член 28 изисква обработващите да уведомяват администраторите „без неоправдано забавяне“, след като узнаят за нарушение — което трябва да е преди 72-часовия часовник.
6. Наличност на DPIA: Доставчикът на инструмента завършил ли е свой собствен DPIA? Предлага ли се за корпоративни клиенти за включване в DPIA на контролера? Доставчик на инструменти, който не е завършил DPIA за собствената си обработка, създава пропуск в документацията в DPIA на контролера.
7. Поддръжка за изтриване и преносимост: Може ли инструментът да изпълни задълженията по член 17 (изтриване) и член 20 (преносимост)? За инструменти с нулево знание, където не се съхраняват лични данни, въпросът за изтриване може да не възникне — но DPIA трябва да документира това.
Австрийската застрахователна компания DPO, която попълва DPIA за своя процес на анонимизиране на жалби, може да поиска и получи: сертификат ISO 27001, документация за хостинг на ЕС, DPIA и DPA от съвместим доставчик на инструменти. Тези четири документа предоставят пълно покритие по член 28 DPIA. Одитът на надзорния орган установява, че DPIA е завършен.
Източници:
- [BSI: ISO 27001 — Ползи от сертифицирането за управление на информационната сигурност] (https://www.bsigroup.com/en-US/products-and-services/standards/iso-iec-27001-information-security-management-system/)
- [Gartner 2024: Изискване ISO 27001 за доставки на Fortune 500 в 78% от RFP] (https://www.gartner.com)
- [GDPR Член 28: Изисквания към обработващия данни и задължения на DPA] (https://gdpr-info.eu/art-28-gdpr/)