Bakit Kailangang Suriin ng mga DPO ang mga Anonymization Tool
Hinihiling ng GDPR ang isang Data Protection Impact Assessment (DPIA) para sa high-risk na trabaho. Ang malawakang pagpoproseso ng PII ay high risk. Ang isang anonymization tool ay isang data processor. Ito ay napapailalim sa mga tuntunin ng processor. Kailangan mong suriin ito bago mag-live.
Dalawang bagay ang kinakailangan. Kailangang mag-alok ang mga processor ng "sapat na garantiya" para sa seguridad. Ang lahat ng pagpoproseso ay kailangang pamahalaan ng isang nakasulat na kontrata. Bilang isang DPO, i-rekord ang mga kontrol sa seguridad ng tool, ang mga sub-processor nito, kung saan nito ino-host ang iyong mga file, kung paano nito pinamamahalaan ang mga paglabag, at ang data processing agreement (DPA).
Binabawasan ng sertipikasyon ng ISO 27001 ang trabaho. Natuklasan ng BSI na binabawasan ng mga sertipikadong firm ang oras sa mga security questionnaire ng 73%. Natuklasan ng Gartner na kinakailangan ang ISO 27001 sa 78% ng mga Fortune 500 bid. Pinapayagan ka ng isang sertipikadong tool na banggitin ang sertipiko. Hindi mo kailangang suriin ang bawat kontrol nang manu-mano. Ang mga hindi sertipikadong tool ay nangangailangan ng mas manu-manong pagsusuri.
Tingnan ang aming compliance overview at security page upang malaman kung paano namin natutugunan ang mga panuntunan na ito.
Pitong Bagay na Dapat Suriin
Gamitin ang listahang ito para sa anumang anonymization tool o supplier.
1. Data processing agreement. May naka-set up ba na GDPR-compliant na DPA? Kailangan nitong saklaw ang: pagpoproseso lamang sa iyong mga order, duty of care, mga hakbang sa seguridad, kontrol ng mga sub-processor, tulong sa mga kahilingan sa karapatan, pagtatapon o pagbabalik ng mga file, at mga karapatan sa audit.
2. Mga rekord sa seguridad. Nakasulat ba ang mga hakbang sa seguridad? Ang mga sertipikadong supplier ng ISO 27001 ay maaaring ituro sa kanilang sertipiko at sa kanilang Statement of Applicability. Natutugunan nito ang kinakailangan.
3. Listahan ng sub-processor. Gumagamit ba ang tool ng mga sub-processor? Pinangalanan ba sila? Kailangan mo ng paunang abiso ng anumang pagbabago. Ang mga cloud host, CDN, at mga OCR tool ay lahat ay kabilang. Ang mga nawawalang pangalan ay isang karaniwang agwat.
4. Kung saan naka-host ang mga file. Ang iyong datos ba ay naka-host sa EU? Ang EU hosting ay pinakamadali para sa mga EU-based na firm. Ang mga zero-knowledge tool ay katanggap-tanggap din — walang mga file na lumalabas sa iyong device. Ang mga US-based na supplier ay nangangailangan ng Standard Contractual Clauses (SCC).
5. Abiso ng paglabag. Gaano kabilis sasabihin sa iyo ng supplier ang tungkol sa isang paglabag? Nangangailangan ang batas ng abiso sa iyong regulator sa loob ng 72 oras. Kailangang babalaing ikaw ng iyong supplier nang una. Suriin na ang DPA ay nagpapatunay nito.
6. DPIA ng supplier. Nagawa na ba ng supplier ang kanilang sariling DPIA? Mababasa mo ba ito? Ang walang DPIA ay nangangahulugang may agwat sa iyong sariling mga rekord. Ito ay isang madalas na isyu.
7. Pagtanggal at portability. Maaari bang hawakan ng supplier ang mga kahilingan sa pagtanggal at portability? Ang mga zero-knowledge tool ay hindi nag-iimbak ng mga file, kaya ang pagtanggal ay maaaring hindi naaangkop. Kailangang sabihin ito ng DPIA.
Ang isang magandang supplier ay nagbibigay sa iyo ng apat na item: sertipiko ng ISO 27001, patunay ng EU hosting, ang kanilang DPIA, at isang napirmahang DPA. Ang apat na item na iyon ay pumupu ng bawat agwat sa iyong sariling DPIA. Masisiyahan ang iyong regulator.
Basahin ang aming DPO FAQ para sa mga karaniwang tanong tungkol sa mga tseke ng supplier.