DPIA विक्रेता मूल्यांकन की आवश्यकता
GDPR अनुच्छेद 35 उन प्रोसेसिंग के लिए डेटा प्रोटेक्शन इम्पैक्ट असेसमेंट (DPIA) की आवश्यकता करता है जो व्यक्तियों के अधिकारों और स्वतंत्रताओं के लिए उच्च जोखिम का परिणाम हो सकती है। व्यक्तिगत डेटा की बड़े पैमाने पर प्रोसेसिंग (अनुच्छेद 35(3)(b)) इस आवश्यकता के अंतर्गत आती है। जब एक संगठन बड़े पैमाने पर PII प्रोसेसिंग के लिए एक एनोनिमाइजेशन टूल लागू करता है, तो DPIA को GDPR अनुच्छेद 28 के तहत डेटा प्रोसेसर के रूप में टूल का मूल्यांकन करना चाहिए।
अनुच्छेद 28 की आवश्यकता है कि डेटा प्रोसेसर "उचित तकनीकी और संगठनात्मक उपायों को लागू करने के लिए पर्याप्त गारंटी प्रदान करें" और कि प्रोसेसिंग "संघ या सदस्य राज्य के कानून के तहत एक अनुबंध या अन्य कानूनी अधिनियम द्वारा शासित हो।" एक DPO जो एक एनोनिमाइजेशन टूल के लिए DPIA पूरा कर रहा है, उसे दस्तावेज करना चाहिए: टूल के सुरक्षा उपाय, इसके उप-प्रोसेसर संबंध, इसका डेटा निवास, इसके डेटा उल्लंघन सूचना प्रक्रियाएँ, और संबंध को नियंत्रित करने वाला डेटा प्रोसेसिंग अनुबंध।
ISO 27001 प्रमाणन DPIA दस्तावेजीकरण के बोझ को काफी कम करता है: BSI अनुसंधान (2024) ने पाया कि ISO 27001 प्रमाणित संगठन सुरक्षा प्रश्नावली के समय को 73% तक कम करते हैं। गार्टनर ने पाया कि Fortune 500 सुरक्षा खरीद में 78% RFPs में ISO 27001 की आवश्यकता होती है। जब एनोनिमाइजेशन टूल ISO 27001 प्रमाणित होता है, तो DPIA प्रमाणन का संदर्भ ले सकता है बजाय इसके कि टूल के सुरक्षा नियंत्रणों को स्वतंत्र रूप से सत्यापित करने का प्रयास किया जाए।
अनुच्छेद 28 विक्रेता मूल्यांकन चेकलिस्ट
DPOs को एनोनिमाइजेशन टूल का मूल्यांकन करते समय GDPR अनुच्छेद 28 की आवश्यकताओं के खिलाफ निम्नलिखित की पुष्टि करनी चाहिए:
1. डेटा प्रोसेसिंग अनुबंध: क्या एक GDPR-अनुरूप DPA उपलब्ध है? क्या यह सभी आवश्यक अनुच्छेद 28 प्रावधानों को कवर करता है: केवल दस्तावेजीकृत निर्देशों पर प्रोसेसिंग, गोपनीयता दायित्व, सुरक्षा उपाय, उप-प्रोसेसर नियंत्रण, डेटा विषय अधिकार सहायता, अनुबंध समाप्ति पर हटाना या लौटाना, और ऑडिट सहयोग?
2. सुरक्षा उपायों का दस्तावेजीकरण: क्या तकनीकी और संगठनात्मक सुरक्षा उपायों को अनुच्छेद 32 के अनुसार दस्तावेजीकृत किया गया है? ISO 27001 प्रमाणित टूल के लिए, प्रमाणन और अनुप्रयोग का विवरण इस दस्तावेजीकरण को प्रदान करते हैं।
3. उप-प्रोसेसर पारदर्शिता: क्या टूल उप-प्रोसेसर का उपयोग करता है? क्या वे सूचीबद्ध और सुलभ हैं? उप-प्रोसेसर में परिवर्तन के लिए नियंत्रक को पूर्व सूचना की आवश्यकता होती है। कई क्लाउड इंफ्रास्ट्रक्चर प्रदाताओं (अतिरिक्त सुरक्षा, CDN, आदि) का उपयोग करने वाले टूल को प्रत्येक उप-प्रोसेसर का दस्तावेजीकरण करना चाहिए।
4. डेटा निवास: व्यक्तिगत डेटा कहाँ प्रोसेस और स्टोर किया जाता है? EU-आधारित DPOs के लिए, EU डेटा निवास या शून्य-ज्ञान आर्किटेक्चर (कोई व्यक्तिगत डेटा सर्वरों पर नहीं भेजा गया) की आवश्यकता होती है। अमेरिका-आधारित टूल को दस्तावेजीकृत SCCs या BCRs की आवश्यकता होती है।
5. डेटा उल्लंघन सूचना: टूल की उल्लंघन सूचना प्रक्रियाएँ क्या हैं? GDPR अनुच्छेद 33 72 घंटों के भीतर पर्यवेक्षी प्राधिकरण को सूचना की आवश्यकता करता है। अनुच्छेद 28 प्रोसेसर को "बिना अनावश्यक देरी" के नियंत्रकों को सूचित करने की आवश्यकता होती है जब वे उल्लंघन के बारे में जान जाते हैं - जो 72 घंटे की घड़ी से पहले होना चाहिए।
6. DPIA उपलब्धता: क्या टूल प्रदाता ने अपना खुद का DPIA पूरा किया है? क्या यह नियंत्रक के DPIA में शामिल करने के लिए उद्यम ग्राहकों के लिए उपलब्ध है? एक टूल प्रदाता जिसने अपनी प्रोसेसिंग के लिए DPIA पूरा नहीं किया है, वह नियंत्रक के DPIA में दस्तावेज़ीकरण की कमी पैदा करता है।
7. मिटाने और पोर्टेबिलिटी समर्थन: क्या टूल अनुच्छेद 17 (मिटाना) और अनुच्छेद 20 (पोर्टेबिलिटी) दायित्वों को पूरा कर सकता है? शून्य-ज्ञान टूल के लिए जहाँ कोई व्यक्तिगत डेटा स्टोर नहीं किया गया है, मिटाने का प्रश्न उत्पन्न नहीं हो सकता - लेकिन DPIA को इसका दस्तावेजीकरण करना चाहिए।
ऑस्ट्रियाई बीमा कंपनी DPO जो अपने शिकायत एनोनिमाइजेशन प्रक्रिया के लिए DPIA पूरा कर रहा है, वह ISO 27001 प्रमाण पत्र, EU होस्टिंग दस्तावेज़, DPIA, और एक अनुपालन टूल प्रदाता से DPA का अनुरोध और प्राप्त कर सकता है। ये चार दस्तावेज़ पूर्ण अनुच्छेद 28 DPIA कवरेज प्रदान करते हैं। पर्यवेक्षी प्राधिकरण का ऑडिट DPIA को पूरा पाता है।
स्रोत: