GDPR Člen 28: Kaj je pogodba obdelovalca podatkov
Člen 28 zahteva, da je vsaka obdelava podatkov dokumentirana s pogodbo med:
- Nadzornik: Podjetje, ki odloča o obdelavi
- Obdelovalec: Podjetja ali storitve, ki obdeluje podatke
Za orodje za anonimizacijo to pomeni:
- Mora biti pogodba med vami in ponudnikom orodja
- Pogodba mora pokrivati:
- Kaj se obdeluje
- Kako se obdeluje
- Kje se obdeluje
- Kako se varnost
DPO preverjalna lista za izbor orodja
1. Podjetje in pravna entiteta
- Ali je ponudnik registriran kot podjetje?
- Kje je sedež podjetja?
- Kakšna je njihova pravna zgodovino?
2. Pogodba in pogoji
- Ali imajo pogodbo podatka obdelovalca (DPA)?
- Ali je pogodba usklajena z GDPR Členom 28(3)?
- Ali je pogodba usklajena z lokalnimi zakoni?
3. Tehnična varnost
- Ali je orodje Šifrirano med prenosom (TLS 1.2+)?
- Ali je orodje Šifrirano na počivanju (AES-256+)?
- Ali je orodje Registrirano dostopa?
- Ali obstoje Avtomatske varnostne kopije?
4. Geografska lokacija
- Kje so strežniki?
- Ali so strežniki v EU?
- Kaj bi bilo, če bi bil strežnik je zunaj EU?
- Ali je obstoji sklep o ustreznosti ali SCCs?