DPO को अनामीकरण टूल की जाँच क्यों करनी चाहिए
GDPR उच्च-जोखिम कार्य के लिए डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट (DPIA) की आवश्यकता रखता है। बड़े पैमाने पर PII प्रोसेसिंग उच्च जोखिम है। एक अनामीकरण टूल एक डेटा प्रोसेसर है। यह प्रोसेसर नियमों के तहत आता है। लाइव जाने से पहले आपको इसका आकलन करना होगा।
दो चीजें आवश्यक हैं। प्रोसेसर को सुरक्षा के लिए "पर्याप्त गारंटी" प्रदान करनी होगी। सभी प्रोसेसिंग एक लिखित अनुबंध द्वारा शासित होनी चाहिए। DPO के रूप में, टूल के सुरक्षा नियंत्रण, उसके उप-प्रोसेसर, जहाँ वह आपकी फाइलें होस्ट करता है, उल्लंघनों को कैसे संभालता है, और डेटा प्रोसेसिंग समझौते (DPA) को रिकॉर्ड करें।
ISO 27001 प्रमाणन काम को कम करता है। BSI ने पाया कि प्रमाणित कंपनियाँ सुरक्षा प्रश्नावलियों पर समय 73% कम करती हैं। Gartner ने पाया कि ISO 27001 Fortune 500 की 78% बोलियों में आवश्यक है। एक प्रमाणित टूल आपको प्रमाणपत्र का उल्लेख करने देता है। आपको प्रत्येक नियंत्रण हाथ से जाँचने की जरूरत नहीं। अप्रमाणित टूल को अधिक मैनुअल समीक्षा की आवश्यकता है।
हम इन नियमों को कैसे पूरा करते हैं, जानने के लिए हमारा अनुपालन अवलोकन और सुरक्षा पृष्ठ देखें।
सात चीजें जाँचने योग्य
किसी भी अनामीकरण टूल या आपूर्तिकर्ता के लिए इस सूची का उपयोग करें।
1. डेटा प्रोसेसिंग समझौता। क्या GDPR-अनुपालक DPA मौजूद है? इसे कवर करना होगा: केवल आपके आदेशों पर प्रोसेसिंग, देखभाल का कर्तव्य, सुरक्षा कदम, उप-प्रोसेसर का नियंत्रण, अधिकार अनुरोधों में सहायता, फाइलों का निपटान या वापसी, और ऑडिट अधिकार।
2. सुरक्षा रिकॉर्ड। क्या सुरक्षा कदम लिखे हुए हैं? ISO 27001 प्रमाणित आपूर्तिकर्ता अपने प्रमाणपत्र और Statement of Applicability की ओर इशारा कर सकते हैं। यह आवश्यकता को संतुष्ट करता है।
3. उप-प्रोसेसर सूची। क्या टूल उप-प्रोसेसर का उपयोग करता है? क्या उनके नाम हैं? किसी भी बदलाव की पूर्व सूचना आपको चाहिए। क्लाउड होस्ट, CDN, और OCR टूल सभी गिने जाते हैं। गायब नाम एक सामान्य अंतर है।
4. फाइलें कहाँ होस्ट की जाती हैं। क्या आपका डेटा EU में होस्ट है? EU होस्टिंग EU-आधारित कंपनियों के लिए सबसे आसान है। Zero-knowledge टूल भी ठीक हैं — कोई फाइल आपके डिवाइस से बाहर नहीं जाती। अमेरिकी आपूर्तिकर्ताओं को Standard Contractual Clauses (SCC) की जरूरत है।
5. उल्लंघन सूचना। आपूर्तिकर्ता आपको उल्लंघन के बारे में कितनी जल्दी बताएगा? कानून आपके नियामक को 72 घंटों के भीतर सूचना की आवश्यकता रखता है। आपके आपूर्तिकर्ता को पहले आपको चेतावनी देनी होगी। DPA की जाँच करें कि यह इसकी पुष्टि करता है।
6. आपूर्तिकर्ता DPIA। क्या आपूर्तिकर्ता ने अपना DPIA किया है? क्या आप इसे पढ़ सकते हैं? कोई DPIA नहीं मतलब आपके अपने रिकॉर्ड में एक अंतर। यह एक बार-बार होने वाला मुद्दा है।
7. विलोपन और पोर्टेबिलिटी। क्या आपूर्तिकर्ता विलोपन और पोर्टेबिलिटी अनुरोधों को संभाल सकता है? Zero-knowledge टूल कोई फाइल संग्रहीत नहीं करते, इसलिए विलोपन लागू नहीं हो सकता। DPIA को यह कहना होगा।
एक अच्छा आपूर्तिकर्ता आपको चार चीजें देता है: ISO 27001 प्रमाणपत्र, EU होस्टिंग प्रमाण, उनका DPIA, और एक हस्ताक्षरित DPA। वे चार चीजें आपके अपने DPIA में हर अंतर भरती हैं। आपका नियामक संतुष्ट होगा।
आपूर्तिकर्ता जाँच के सामान्य प्रश्नों के लिए हमारा DPO FAQ पढ़ें।