Γιατί Τα Εργαλεία PII Απαιτούν Αξιολόγηση Άρθρου 28
Εάν αποστέλλετε δεδομένα σε εξωτερικό εργαλείο ανωνυμοποίησης PII:
- Το εργαλείο είναι επεξεργαστής δεδομένων (Data Processor) βάσει Άρθρου 28
- Απαιτείται Data Processing Agreement (DPA)
- DPO πρέπει να επαληθεύσει επάρκεια
DPO Checklist: 47 Ερωτήσεις
Ενότητα 1: Νομικές Βάσεις (10 ερωτήσεις)
- Η εταιρεία έχει ISO 27001 ή ισοδύναμο;
- Υπάρχει DPA βάσει Άρθρου 28;
- Απαριθμούνται οι sub-processors;
- Υπάρχει ρήτρα αλυσίδας για sub-processors;
- Ποια η νόμιμη βάση επεξεργασίας δεδομένων για λογαριασμό σας;
Ενότητα 2: Τεχνικά Μέτρα (20 ερωτήσεις) 6. Κρυπτογράφηση in transit (TLS 1.2+); 7. Κρυπτογράφηση at rest (AES-256); 8. Επεξεργάζεται τα δεδομένα εντός ΕΕ ή εκτός; 9. Αποθηκεύει τα data inputs μετά την επεξεργασία; 10. Χρονική διατήρηση inputs/outputs;
Ενότητα 3: Τεχνική Αξιολόγηση Ακρίβειας (17 ερωτήσεις) 27. Ποια entities ανιχνεύει; 28. Τι κατώφλι εμπιστοσύνης; 29. Υπάρχουν δημοσιευμένα benchmarks; 30. Υποστηρίζει ελληνικά; (ή άλλη γλώσσα επιχείρησης)
Πηγές: