Čl. 28 GDPR: Dohoda s procesormi
Čl. 28 GDPR stanovuje, že pokiaľ spracováte osobné údaje prostredníctvom tretej strany (procesora), musíte mať s ňou terméa dohodu. Dohoda musí zahŕňať:
- Predmet a trvanie spracovávania — čo sa spracováva, ako dlho
- Povaha a účel spracovávania — na aký účel sa údaje spracovávajú
- Typy osobných údajov — ktoré údaje sa spracovávajú
- Kategórie dotknutých osôb — kto sú dotčení
- Povinnosti a práva — čo musí procesor robiť
- Bezpečnostné opatrenia — ako procesor chráni údaje
- Pomôcky pre DPO — ako môže DPO skontrolovať procesor
- Terciárni spracovávatelia — pokiaľ procesor zamestnáva iných spracovateľov
Kontrolný zoznam pre DPO: Výber anonymizačného nástroja
Keď DPO vyberá anonymizačný nástroj (napríklad anonym.legal, Nightfall, Deidentifier, atď.), musí skontrolovať:
1. Právne základy
- Má nástroj jasne definovaný právny základ?
- Je základ vhodný pre vašu industriu?
- Máte súhlas používateľov (pokiaľ je potrebný)?
2. Bezpečnosť
- Je nástroj zašifrovaný na linke (HTTPS)?
- Je zašifrovaný v pokoji (end-to-end)?
- Má nástroj certifikáciu ISO 27001 alebo SOC 2?
- Sú údaje uložené v EÚ alebo v súlade s GDPR transferom?
3. Transparentnosť
- Môžete vidieť, ako nástroj funguje?
- Sú k dispozícii technické špecifikácie?
- Má nástroj priesvitný algoritmus (open-source)?
4. Účel anonymizácie
- Nástroj skutočne anonymizuje, alebo iba pseudo-anonymizuje?
- Sú výsledky reverzibilné?
- Ako sa dá oslobozujú od GDPR?
5. Dohoda s procesormi
- Má nástroj Data Processing Agreement (DPA)?
- Pokrýva DPA čl. 28 požiadavky?
- Aktualizuje sa DPA s novými GDPR požiadavkami?