DPIA:n myyjäarviointivaatimus
GDPR:n artikla 35 vaatii tietosuojan vaikutusten arviointeja (DPIA) käsittelylle, joka todennäköisesti aiheuttaa suurta riskiä yksilöiden oikeuksille ja vapauksille. Suurten henkilökohtaisten tietojen käsittely (artikla 35(3)(b)) kuuluu tähän vaatimukseen. Kun organisaatio ottaa käyttöön anonymisointityökalun suurten PII-käsittelyjen osalta, DPIA:n on arvioitava työkalua tietojenkäsittelijänä GDPR:n artiklan 28 mukaisesti.
Artikla 28 vaatii, että tietojenkäsittelijät tarjoavat "riittävät takeet toteuttaa asianmukaisia teknisiä ja organisatorisia toimenpiteitä" ja että käsittelyä säädellään "sopimuksella tai muulla oikeudellisella asiakirjalla unionin tai jäsenvaltion lain mukaan." DPO, joka suorittaa DPIA:n anonymisointityökalulle, on dokumentoitava: työkalun turvallisuustoimenpiteet, sen alikäsittelijäsuhteet, sen tietojen säilytys, sen tietoturvaloukkauksen ilmoitusmenettelyt ja tietojenkäsittelysopimus, joka säätelee suhdetta.
ISO 27001 -sertifiointi vähentää merkittävästi DPIA-dokumentointitaakkaa: BSI:n tutkimus (2024) havaitsi, että ISO 27001 -sertifioidut organisaatiot vähentävät turvallisuuskyselyaikaa 73 %. Gartner havaitsi, että Fortune 500 -yritysten turvallisuushankinnat vaativat ISO 27001:stä 78 %:ssa RFP:itä. Kun anonymisointityökalu on ISO 27001 -sertifioitu, DPIA voi viitata sertifiointiin sen sijaan, että yritettäisiin itsenäisesti vahvistaa työkalun turvallisuusvalvontatoimenpiteitä.
Artikla 28 myyjäarviointilista
DPO:t, jotka arvioivat anonymisointityökalua GDPR:n artiklan 28 vaatimusten mukaisesti, tulisi varmistaa:
1. Tietojenkäsittelysopimus: Onko saatavilla GDPR:n mukainen DPA? Kattaako se kaikki vaaditut artiklan 28 määräykset: käsittely vain dokumentoitujen ohjeiden mukaan, salassapitovelvoitteet, turvallisuustoimenpiteet, alikäsittelijöiden valvonta, rekisteröityjen oikeuksien tukeminen, tietojen poistaminen tai palauttaminen sopimuksen päättyessä ja tarkastusyhteistyö?
2. Turvallisuustoimenpiteiden dokumentointi: Onko tekniset ja organisatoriset turvallisuustoimenpiteet dokumentoitu tavalla, joka täyttää artiklan 32 vaatimukset? ISO 27001 -sertifioiduilla työkaluilla sertifiointi ja soveltuvuusilmoitus tarjoavat tämän dokumentaation.
3. Alikäsittelijöiden läpinäkyvyys: Käyttääkö työkalu alikäsittelijöitä? Onko ne lueteltu ja saatavilla? Alikäsittelijöiden muutoksista on ilmoitettava etukäteen rekisterinpitäjälle. Työkalujen, jotka käyttävät useita pilvi-infrastruktuuripalveluntarjoajia (varmuuden vuoksi, CDN jne.), on dokumentoitava jokainen alikäsittelijä.
4. Tietojen säilytys: Missä henkilökohtaisia tietoja käsitellään ja säilytetään? EU-pohjaisilta DPO:ilta vaaditaan EU:n tietojen säilytys tai nollatietämyksen arkkitehtuuri (ei henkilökohtaisia tietoja siirretä palvelimille). Yhdysvaltoihin perustuvilta työkaluilta vaaditaan dokumentoituja SCC:itä tai BCR:itä.
5. Tietoturvaloukkauksen ilmoittaminen: Mitkä ovat työkalun loukkauksen ilmoitusmenettelyt? GDPR:n artikla 33 vaatii ilmoittamista valvontaviranomaiselle 72 tunnin kuluessa. Artikla 28 vaatii käsittelijöitä ilmoittamaan rekisterinpitäjille "ilman aiheetonta viivytystä" saatuaan tietää loukkauksesta — mikä on oltava ennen 72 tunnin kelloa.
6. DPIA:n saatavuus: Onko työkalun tarjoaja suorittanut oman DPIA:n? Onko se saatavilla yritysasiakkaille rekisterinpitäjän DPIA:han sisällytettäväksi? Työkalun tarjoaja, joka ei ole suorittanut DPIA:ta omasta käsittelystään, luo dokumentointivajeen rekisterinpitäjän DPIA:han.
7. Poistamisen ja siirrettävyyden tuki: Voiko työkalu täyttää artiklan 17 (poistaminen) ja artiklan 20 (siirrettävyys) velvoitteet? Nollatietämyksen työkaluissa, joissa ei säilytetä henkilökohtaisia tietoja, poistamiskysymys ei ehkä nouse esiin — mutta DPIA:n on dokumentoitava tämä.
Itävaltalainen vakuutusyhtiö, joka suorittaa DPIA:n valituksensa anonymisointiprosessille, voi pyytää ja vastaanottaa: ISO 27001 -sertifikaatti, EU:n isännöintidokumentaatio, DPIA ja DPA vaatimustenmukaiselta työkalun tarjoajalta. Nämä neljä asiakirjaa tarjoavat täydellisen artikla 28 DPIA -katteen. Valvontaviranomaisen tarkastus löytää DPIA:n täydelliseksi.
Lähteet: