Зошто DPO-ите Треба да Ги Проверат Алатките за Анонимизација
GDPR бара Проценка на влијание на заштита на податоците (DPIA) за работа со висок ризик. Обработката на PII во голем обем е висок ризик. Алатката за анонимизација е обработувач на податоци. Потпаѓа под правилата за обработувачи. Треба да ја процените пред да се активирате.
Потребни се две нешта. Обработувачите треба да нудат "доволни гаранции" за безбедност. Целата обработка треба да биде управувана со писмен договор. Како DPO, евидентирајте ги безбедносните контроли на алатката, нејзините под-обработувачи, каде ги хостира вашите датотеки, како постапува со нарушувања и договорот за обработка на податоци (DPA).
ISO 27001 сертификацијата го намалува трудот. BSI утврди дека сертифицираните фирми го намалуваат времето на безбедносните прашалници за 73%. Gartner утврди дека ISO 27001 е потребен во 78% од понудите на Fortune 500. Сертифицирана алатка ви овозможува да го наведете сертификатот. Не треба да ги проверувате поединечно секоја контрола. Несертифицираните алатки бараат поголем рачен преглед.
Погледнете го нашиот преглед за усогласеност и страницата за безбедност за да дознаете како ги исполнуваме овие правила.
Седум Нешта за Проверка
Користете ја оваа листа за секоја алатка или добавувач за анонимизација.
1. Договор за обработка на податоци. Дали постои GDPR-усогласен DPA? Треба да опфаќа: обработка само по ваши налози, должност на грижа, безбедносни чекори, контрола на под-обработувачи, помош со барања за права, уништување или враќање на датотеки и права за ревизија.
2. Безбедносни записи. Дали безбедносните чекори се документирани? Сертифицираните добавувачи ISO 27001 можат да го покажат својот сертификат и Изјавата о применливости. Тоа го задоволува барањето.
3. Листа на под-обработувачи. Дали алатката користи под-обработувачи? Дали се именувани? Ви треба претходно известување за секоја промена. Сите облак хостови, CDN-ови и OCR алатки се сметаат. Недостасувачките имиња се вообичаен јаз.
4. Каде се хостираат датотеките. Дали вашите податоци се хостирани во ЕУ? Хостингот во ЕУ е најлесен за фирми базирани во ЕУ. Zero-knowledge алатките се исто така во ред - никакви датотеки не го напуштаат вашиот уред. Добавувачите базирани во САД бараат Стандардни договорни клаузули (SCC).
5. Известување за нарушување. Колку брзо добавувачот ќе ве извести за нарушување? Законот бара известување до вашиот регулатор во рок од 72 часа. Вашиот добавувач мора прво да ве предупреди. Проверете дали DPA го потврдува тоа.
6. DPIA на добавувачот. Дали добавувачот направил своја DPIA? Дали можете да ја прочитате? Без DPIA значи јаз во вашите сопствени записи. Ова е честа проблематика.
7. Бришење и преносливост. Дали добавувачот може да постапи со барања за бришење и преносливост? Zero-knowledge алатките не чуваат датотеки, па бришењето може да не се применува. DPIA треба да го наведе тоа.
Добриот добавувач ви дава четири ставки: ISO 27001 сертификат, доказ за хостинг во ЕУ, нивната DPIA и потпишан DPA. Тие четири ставки ги пополнуваат сите јазови во вашата сопствена DPIA. Вашиот регулатор ќе биде задоволен.
Прочитајте ги нашите ЧПП за DPO за вообичаени прашања за проверки на добавувачи.