Требование к оценке поставщика DPIA
Статья 35 GDPR требует проведения оценок воздействия на защиту данных для обработки, которая, вероятно, приведет к высокому риску для прав и свобод физических лиц. Обработка персональных данных в крупных масштабах (статья 35(3)(b)) подпадает под это требование. Когда организация использует инструмент анонимизации для обработки PII в крупных масштабах, DPIA должна оценить инструмент как обработчик данных в соответствии со статьей 28 GDPR.
Статья 28 требует, чтобы обработчики данных предоставляли "достаточные гарантии для реализации соответствующих технических и организационных мер" и чтобы обработка "регулировалась контрактом или другим юридическим актом в соответствии с правом Союза или государства-члена." DPO, заполняя DPIA для инструмента анонимизации, должен задокументировать: меры безопасности инструмента, его отношения с субобработчиками, резидентство данных, процедуры уведомления о нарушении данных и соглашение об обработке данных, регулирующее отношения.
Сертификация ISO 27001 значительно снижает нагрузку по документированию DPIA: исследование BSI (2024) показало, что организации с сертификатом ISO 27001 сокращают время заполнения анкеты по безопасности на 73%. Gartner обнаружил, что закупки безопасности Fortune 500 требуют ISO 27001 в 78% запросов предложений. Когда инструмент анонимизации сертифицирован по ISO 27001, DPIA может ссылаться на сертификацию, а не пытаться независимо проверить меры безопасности инструмента.
Контрольный список оценки поставщика по статье 28
DPO, оценивающие инструмент анонимизации по требованиям статьи 28 GDPR, должны проверить:
1. Соглашение об обработке данных: Доступно ли соглашение об обработке данных, соответствующее требованиям GDPR? Охватывает ли оно все необходимые положения статьи 28: обработка только по документированным инструкциям, обязательства по конфиденциальности, меры безопасности, контроль за субобработчиками, помощь в правах субъектов данных, удаление или возврат по окончании контракта и сотрудничество в аудите?
2. Документация мер безопасности: Задокументированы ли технические и организационные меры безопасности таким образом, чтобы удовлетворять статье 32? Для инструментов, сертифицированных по ISO 27001, сертификация и Заявление о применимости предоставляют эту документацию.
3. Прозрачность субобработчиков: Использует ли инструмент субобработчиков? Они перечислены и доступны? Изменения субобработчиков требуют предварительного уведомления контроллера. Инструменты, использующие несколько поставщиков облачной инфраструктуры (для резервирования, CDN и т.д.), должны документировать каждого субобработчика.
4. Резидентство данных: Где обрабатываются и хранятся персональные данные? Для DPO, базирующихся в ЕС, требуется резидентство данных в ЕС или архитектура нулевого знания (без передачи персональных данных на серверы). Инструменты, базирующиеся в США, требуют документированных SCC или BCR.
5. Уведомление о нарушении данных: Каковы процедуры уведомления о нарушениях инструмента? Статья 33 GDPR требует уведомления надзорного органа в течение 72 часов. Статья 28 требует от обработчиков уведомлять контроллеров "без неоправданной задержки" после того, как они узнали о нарушении — что должно быть сделано до истечения 72 часов.
6. Доступность DPIA: Завершил ли поставщик инструмента свою собственную DPIA? Доступна ли она для корпоративных клиентов для включения в DPIA контроллера? Поставщик инструмента, который не завершил DPIA для своей собственной обработки, создает пробел в документации DPIA контроллера.
7. Поддержка удаления и портативности: Может ли инструмент выполнять обязательства статьи 17 (удаление) и статьи 20 (портативность)? Для инструментов нулевого знания, где персональные данные не хранятся, вопрос об удалении может не возникнуть — но DPIA должна это задокументировать.
Австрийская страховая компания DPO, завершающая DPIA для своего процесса анонимизации жалоб, может запросить и получить: сертификат ISO 27001, документацию по хостингу в ЕС, DPIA и DPA от соответствующего поставщика инструмента. Эти четыре документа обеспечивают полное покрытие DPIA по статье 28. Аудит надзорного органа находит DPIA завершенной.
Источники: