Wymóg oceny dostawcy DPIA
Artykuł 35 RODO wymaga przeprowadzania ocen skutków dla ochrony danych w przypadku przetwarzania, które może prowadzić do wysokiego ryzyka dla praw i wolności osób. Przetwarzanie danych osobowych na dużą skalę (artykuł 35(3)(b)) wchodzi w zakres tego wymogu. Kiedy organizacja wdraża narzędzie do anonimizacji do przetwarzania PII na dużą skalę, DPIA musi ocenić narzędzie jako procesora danych zgodnie z artykułem 28 RODO.
Artykuł 28 wymaga, aby procesory danych zapewniały "wystarczające gwarancje do wdrożenia odpowiednich środków technicznych i organizacyjnych" oraz aby przetwarzanie było "regulowane umową lub innym aktem prawnym zgodnie z prawem Unii lub państwa członkowskiego." DPO wypełniający DPIA dla narzędzia do anonimizacji musi udokumentować: środki bezpieczeństwa narzędzia, jego relacje z podprocesorami, rezydencję danych, procedury powiadamiania o naruszeniach danych oraz umowę o przetwarzaniu danych regulującą tę relację.
Certyfikacja ISO 27001 znacznie zmniejsza obciążenie dokumentacyjne DPIA: badania BSI (2024) wykazały, że organizacje certyfikowane zgodnie z ISO 27001 skracają czas wypełniania kwestionariuszy bezpieczeństwa o 73%. Gartner odkrył, że zakupy bezpieczeństwa w Fortune 500 wymagają ISO 27001 w 78% RFP. Kiedy narzędzie do anonimizacji jest certyfikowane zgodnie z ISO 27001, DPIA może odwoływać się do certyfikacji zamiast próbować niezależnie weryfikować środki bezpieczeństwa narzędzia.
Lista kontrolna oceny dostawcy artykułu 28
DPO oceniający narzędzie do anonimizacji według wymogów artykułu 28 RODO powinien zweryfikować:
1. Umowa o przetwarzaniu danych: Czy dostępna jest umowa DPA zgodna z RODO? Czy obejmuje wszystkie wymagane postanowienia artykułu 28: przetwarzanie tylko na podstawie udokumentowanych instrukcji, obowiązki dotyczące poufności, środki bezpieczeństwa, kontrole podprocesorów, pomoc w prawach osób, usunięcie lub zwrot po zakończeniu umowy oraz współpraca audytowa?
2. Dokumentacja środków bezpieczeństwa: Czy techniczne i organizacyjne środki bezpieczeństwa są udokumentowane w sposób, który spełnia wymagania artykułu 32? Dla narzędzi certyfikowanych zgodnie z ISO 27001, certyfikacja i Oświadczenie o Zastosowaniu dostarczają tę dokumentację.
3. Przejrzystość podprocesorów: Czy narzędzie korzysta z podprocesorów? Czy są one wymienione i dostępne? Zmiany podprocesorów wymagają wcześniejszego powiadomienia kontrolera. Narzędzia korzystające z wielu dostawców infrastruktury chmurowej (dla redundancji, CDN itp.) muszą udokumentować każdego podprocesora.
4. Rezydencja danych: Gdzie przetwarzane i przechowywane są dane osobowe? Dla DPO z siedzibą w UE wymagana jest rezydencja danych w UE lub architektura zero-knowledge (brak przesyłania danych osobowych na serwery). Narzędzia z siedzibą w USA wymagają udokumentowanych SCC lub BCR.
5. Powiadamianie o naruszeniach danych: Jakie są procedury powiadamiania o naruszeniach narzędzia? Artykuł 33 RODO wymaga powiadomienia organu nadzorczego w ciągu 72 godzin. Artykuł 28 wymaga, aby procesory powiadamiały kontrolerów "bez zbędnej zwłoki" po uzyskaniu informacji o naruszeniu — co musi nastąpić przed upływem 72 godzin.
6. Dostępność DPIA: Czy dostawca narzędzia przeprowadził własną DPIA? Czy jest ona dostępna dla klientów korporacyjnych do uwzględnienia w DPIA kontrolera? Dostawca narzędzia, który nie przeprowadził DPIA dla własnego przetwarzania, tworzy lukę dokumentacyjną w DPIA kontrolera.
7. Wsparcie w zakresie usunięcia i przenośności: Czy narzędzie może spełnić obowiązki artykułu 17 (usunięcie) i artykułu 20 (przenośność)? Dla narzędzi zero-knowledge, w których nie przechowuje się danych osobowych, pytanie o usunięcie może nie wystąpić — ale DPIA musi to udokumentować.
Austriacka firma ubezpieczeniowa DPO przeprowadzająca DPIA dla swojego procesu anonimizacji skarg może zażądać i otrzymać: certyfikat ISO 27001, dokumentację hostingu w UE, DPIA oraz DPA od zgodnego dostawcy narzędzi. Te cztery dokumenty zapewniają pełne pokrycie DPIA artykułu 28. Audyt organu nadzorczego stwierdza, że DPIA jest kompletna.
Źródła: