Cerinta de Evaluare a Furnizorilor DPIA
GDPR Articolul 35 necesita Evaluari de Impact asupra Protectiei Datelor pentru procesarea care este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor. Procesarea pe scara larga a datelor personale (Articolul 35(3)(b)) se incadreaza in aceasta cerinta.
Atunci cand o organizatie implementeaza un instrument de anonimizare pentru procesarea PII pe scara larga, DPIA trebuie sa evalueze instrumentul ca operator de date conform GDPR Articolul 28.
Lista de Verificare a DPO-ului pentru Evaluarea Instrumentului de Anonimizare
Securitate si conformitate:
- Certificare ISO 27001 (cu domeniu care acopera serviciul relevant)
- Rapoarte de audit de penetrare (cel putin anual)
- Criptare in tranzit (TLS 1.2+) si in repaus (AES-256)
- Politica de gestionare a vulnerabilitatilor cu termene de remediere documentate
Rezidenta si transferul datelor:
- Datele procesate si stocate exclusiv in UE (sau cu SCC-uri adecvate)
- Nicio retentie a datelor clientilor dupa procesare
- Sub-procesori documentati si liste DPA
Acordul de procesare a datelor (DPA):
- DPA conform Articolului 28 disponibil pentru revizuire
- Obligatii de asistenta la incalcare (notificare 72 de ore la controlorul de date)
- Clauze de stergere/returnare la incetarea serviciului
Disponibilitatea DPIA:
- Documentatia DPIA proprie a furnizorului disponibila
- Disponibilitatea raportului de evaluare a securitatii pentru revizuire
Continuitatea afacerii:
- Obiective documentate privind timpii de recuperare (RTO/RPO)
- Planul de backup si recuperare dupa dezastru
Surse: GDPR Articolul 28 si 35; Orientarile EDPB 07/2020 privind DPIA; Ghidul de Achizitii ISO 27001 ISACA 2024