Zasto DPO moraju da proveravaju alatke za anonimizaciju
GDPR zahteva Procenu uticaja na zastitu podataka (DPIA) za rad visokog rizika. Obrada PII u velikom obimu je visoki rizik. Alatka za anonimizaciju je obradivac podataka. Potpada pod pravila za obradivace. Morate je proceniti pre pusanja u rad.
Dva uslova su obavezna. Obradivaci moraju pruziti "dovoljne garancije" za bezbednost. Sva obrada mora biti regulisana pisanim ugovorom. Kao DPO, evidentirajte bezbednosne kontrole alatke, njene pod-obradivace, gde smesta vase datoteke, kako postupa s probojima i ugovor o obradi podataka (DPA).
ISO 27001 sertifikacija smanjuje posao. BSI je utvrdio da sertifikovane firme smanjuju vreme na bezbednosnim upitnicima za 73%. Gartner je utvrdio da ISO 27001 zahteva 78% Fortune 500 tendera. Sertifikovana alatka vam omogucava da navedete sertifikat. Ne morate rucno proveravati svaku kontrolu. Nesertifikovane alatke zahtevaju vise rucnog pregleda.
Pogledajte nas pregled uskladjenosti i bezbednosnu stranicu da saznate kako ispunjavamo ova pravila.
Sedam stavki za proveru
Koristite ovu listu za svaku alatku za anonimizaciju ili dobavljaca.
1. Ugovor o obradi podataka. Da li je na snazi DPA uskladjen sa GDPR-om? Mora pokrivati: obradu samo po vasim nalozima, dunost paznje, bezbednosne korake, kontrolu nad pod-obradivacima, pomoc s zahtevima prava, odlaganje ili vracanje datoteka i prava na reviziju.
2. Bezbednosna dokumentacija. Da li su bezbednosne mere zapisane? ISO 27001 sertifikovani dobavljaci mogu pokazati sertifikat i svoju Izjavu o primenljivosti. To ispunjava zahtev.
3. Lista pod-obradivaca. Da li alatka koristi pod-obradivace? Da li su navedeni? Potrebno je prethodno obavestenje o svakoj promeni. Cloud hostovi, CDN-ovi i OCR alatke se svi racunaju. Nedostajuca imena su cesta praznina.
4. Lokacija hostovanja datoteka. Da li su vasi podaci hosovani u EU? EU hosting je najlaksi za firme sa sedistem u EU. Zero-knowledge alatke su takodje u redu - nikakve datoteke ne napustaju vas uredjaj. Dobavljaci iz SAD-a zahtevaju Standardne ugovorne klauzule (SCC).
5. Obavestenje o proboju. Koliko brzo ce vas dobavljac obavestiti o proboju? Zakon zahteva obavestenje vasem regulatoru u roku od 72 sata. Vas dobavljac mora vas prvo upozoriti. Proverite da DPA to potvrduje.
6. DPIA dobavljaca. Da li je dobavljac uradio sopstvenu DPIA? Mozete li je procitati? Nema DPIA znaci prazninu u vasim sopstvenim zapisima. Ovo je cest problem.
7. Brisanje i prenosivost. Moze li dobavljac rukovati zahtevima za brisanje i prenosivost? Zero-knowledge alatke ne cuvaju datoteke, pa brisanje mozda nije primenjivo. DPIA mora to izreci.
Dobar dobavljac vam pruzaju cetiri stavke: ISO 27001 sertifikat, dokaz o EU hostingu, njihovu DPIA i potpisan DPA. Te cetiri stavke popunjavaju svaku prazninu u vasoj sopstvenoj DPIA. Vas regulator ce biti zadovoljan.
Procitajte nas DPO FAQ za uobicajena pitanja o proverama dobavljaca.