title: "รายการตรวจสอบ DPO สำหรับผู้ให้บริการ: GDPR มาตรา 28" description: "GDPR มาตรา 35 กำหนดให้ต้องมี DPIA สำหรับการประมวลผลที่มีความเสี่ยงสูง การรับรอง ISO 27001 ลดเวลาในการตอบแบบสอบถามความปลอดภัยได้ 73%" category: gdpr-compliance publishedAt: 2026-04-22 tags:
- DPO รายการตรวจสอบ
- GDPR มาตรา 28
- ISO 27001
- DPIA
- ผู้ประมวลผลข้อมูล readingTime: 8
เหตุใด DPO จึงต้องตรวจสอบเครื่องมือไม่เปิดเผยตัวตน
GDPR กำหนดให้ต้องมีการประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA) สำหรับงานที่มีความเสี่ยงสูง การประมวลผล PII ขนาดใหญ่มีความเสี่ยงสูง เครื่องมือไม่เปิดเผยตัวตนคือผู้ประมวลผลข้อมูล มันอยู่ภายใต้กฎของผู้ประมวลผล คุณต้องประเมินก่อนเริ่มใช้งาน
ต้องการสองสิ่ง ผู้ประมวลผลต้องเสนอ "การรับประกันที่เพียงพอ" สำหรับความปลอดภัย การประมวลผลทั้งหมดต้องอยู่ภายใต้สัญญาที่เป็นลายลักษณ์อักษร ในฐานะ DPO บันทึกการควบคุมความปลอดภัยของเครื่องมือ ผู้ประมวลผลย่อย สถานที่โฮสต์ไฟล์ของคุณ วิธีจัดการการละเมิด และข้อตกลงการประมวลผลข้อมูล (DPA)
การรับรอง ISO 27001 ลดงานลง BSI พบว่าบริษัทที่ได้รับการรับรองลดเวลาในการตอบแบบสอบถามความปลอดภัยได้ 73% Gartner พบว่า ISO 27001 เป็นข้อกำหนดใน 78% ของการประมูล Fortune 500 เครื่องมือที่ได้รับการรับรองให้คุณอ้างอิงใบรับรอง คุณไม่ต้องตรวจสอบแต่ละการควบคุมด้วยตนเอง เครื่องมือที่ไม่ได้รับการรับรองต้องการการตรวจสอบด้วยตนเองมากขึ้น
ดูภาพรวมการปฏิบัติตามกฎระเบียบและหน้าความปลอดภัยของเราเพื่อเรียนรู้วิธีที่เราปฏิบัติตามกฎเหล่านี้
เจ็ดสิ่งที่ต้องตรวจสอบ
ใช้รายการนี้สำหรับเครื่องมือหรือผู้ให้บริการไม่เปิดเผยตัวตนใดๆ
1. ข้อตกลงการประมวลผลข้อมูล มี DPA ที่เป็นไปตาม GDPR หรือไม่? จำเป็นต้องครอบคลุม: การประมวลผลตามคำสั่งของคุณเท่านั้น หน้าที่ดูแล ขั้นตอนความปลอดภัย การควบคุมผู้ประมวลผลย่อย การช่วยเหลือคำขอสิทธิ์ การกำจัดหรือคืนไฟล์ และสิทธิ์การตรวจสอบ
2. บันทึกความปลอดภัย ขั้นตอนความปลอดภัยถูกบันทึกไว้หรือไม่? ผู้ให้บริการที่ได้รับการรับรอง ISO 27001 สามารถชี้ไปยังใบรับรองและ Statement of Applicability ของพวกเขา ซึ่งตอบสนองข้อกำหนด
3. รายชื่อผู้ประมวลผลย่อย เครื่องมือใช้ผู้ประมวลผลย่อยหรือไม่? มีการระบุชื่อหรือไม่? คุณต้องการการแจ้งเตือนล่วงหน้าสำหรับการเปลี่ยนแปลงใดๆ โฮสต์คลาวด์ CDN และเครื่องมือ OCR ล้วนนับ ชื่อที่ขาดหายไปเป็นช่องว่างทั่วไป
4. สถานที่โฮสต์ไฟล์ ข้อมูลของคุณโฮสต์ใน EU หรือไม่? การโฮสต์ใน EU ง่ายที่สุดสำหรับบริษัทใน EU เครื่องมือ zero-knowledge ก็ใช้ได้ — ไม่มีไฟล์ออกจากอุปกรณ์ของคุณเลย ผู้ให้บริการในสหรัฐฯ ต้องการ Standard Contractual Clauses (SCCs)
5. การแจ้งเตือนการละเมิด ผู้ให้บริการจะแจ้งเตือนคุณเร็วแค่ไหนเกี่ยวกับการละเมิด? กฎหมายกำหนดให้ต้องแจ้งหน่วยงานกำกับดูแลภายใน 72 ชั่วโมง ผู้ให้บริการต้องแจ้งเตือนคุณก่อน ตรวจสอบว่า DPA ยืนยันสิ่งนี้
6. DPIA ของผู้ให้บริการ ผู้ให้บริการทำ DPIA ของตัวเองหรือไม่? คุณอ่านได้หรือไม่? ไม่มี DPIA หมายความว่ามีช่องว่างในบันทึกของคุณเอง นี่เป็นปัญหาที่พบบ่อย
7. การลบและความสามารถในการพกพา ผู้ให้บริการสามารถจัดการคำขอการลบและความสามารถในการพกพาได้หรือไม่? เครื่องมือ zero-knowledge ไม่เก็บไฟล์ ดังนั้นการลบอาจไม่บังคับใช้ DPIA ต้องระบุสิ่งนี้
ผู้ให้บริการที่ดีให้คุณสี่รายการ: ใบรับรอง ISO 27001 หลักฐานการโฮสต์ใน EU DPIA ของพวกเขา และ DPA ที่ลงนาม รายการทั้งสี่ปิดช่องว่างทุกอย่างใน DPIA ของคุณเอง หน่วยงานกำกับดูแลของคุณจะพอใจ
อ่านคำถามที่พบบ่อยของ DPOสำหรับคำถามทั่วไปเกี่ยวกับการตรวจสอบผู้ให้บริการ