DPIA Tedarikçi Değerlendirme Gereksinimi
GDPR Madde 35, bireylerin hakları ve özgürlükleri için yüksek risk oluşturabilecek işlemler için Veri Koruma Etki Değerlendirmeleri (DPIA) gerektirir. Kişisel verilerin büyük ölçekli işlenmesi (Madde 35(3)(b)) bu gereksinim kapsamına girer. Bir kuruluş, büyük ölçekli PII işleme için bir anonimleştirme aracı kullandığında, DPIA bu aracı GDPR Madde 28 uyarınca bir veri işleyici olarak değerlendirmelidir.
Madde 28, veri işleyicilerinin "uygun teknik ve organizasyonel önlemleri uygulamak için yeterli garantiler sağlamasını" ve işlemenin "Birlik veya Üye Devlet hukukuna göre bir sözleşme veya diğer yasal bir eylemle yönetilmesini" gerektirir. Bir DPO, bir anonimleştirme aracı için DPIA tamamlarken, aracın güvenlik önlemlerini, alt işleyici ilişkilerini, veri ikametgahını, veri ihlali bildirim prosedürlerini ve ilişkileri yöneten veri işleme anlaşmasını belgelenmelidir.
ISO 27001 sertifikası, DPIA belgelenme yükünü önemli ölçüde azaltır: BSI araştırması (2024), ISO 27001 sertifikalı kuruluşların güvenlik anketi süresini %73 oranında azalttığını bulmuştur. Gartner, Fortune 500 güvenlik alımlarının %78'inde ISO 27001 gerektirdiğini bulmuştur. Anonimleştirme aracı ISO 27001 sertifikalı olduğunda, DPIA, aracın güvenlik kontrollerini bağımsız olarak doğrulamaya çalışmak yerine sertifikaya atıfta bulunabilir.
Madde 28 Tedarikçi Değerlendirme Kontrol Listesi
DPO'lar, bir anonimleştirme aracını GDPR Madde 28 gereksinimleriyle karşılaştırırken şunları doğrulamalıdır:
1. Veri İşleme Anlaşması: GDPR uyumlu bir DPA mevcut mu? Tüm gerekli Madde 28 hükümlerini kapsıyor mu: yalnızca belgelenmiş talimatlar doğrultusunda işleme, gizlilik yükümlülükleri, güvenlik önlemleri, alt işleyici kontrolleri, veri sahibi hakları yardımı, sözleşme sona erdiğinde silme veya iade, ve denetim işbirliği?
2. Güvenlik önlemleri belgeleri: Teknik ve organizasyonel güvenlik önlemleri, Madde 32'yi tatmin edecek şekilde belgelenmiş mi? ISO 27001 sertifikalı araçlar için, sertifika ve Uygulama Beyanı bu belgeleri sağlar.
3. Alt işleyici şeffaflığı: Araç alt işleyiciler kullanıyor mu? Listelenmiş ve erişilebilirler mi? Alt işleyici değişiklikleri, denetleyiciye önceden bildirim gerektirir. Birden fazla bulut altyapı sağlayıcısı (yedeklilik, CDN vb. için) kullanan araçlar, her bir alt işleyiciyi belgelenmelidir.
4. Veri ikametgahı: Kişisel veriler nerede işleniyor ve saklanıyor? AB merkezli DPO'lar için, AB veri ikametgahı veya sıfır bilgi mimarisi (hiç kişisel veri sunuculara iletilmiyor) gereklidir. ABD merkezli araçlar, belgelenmiş SCC'ler veya BCR'ler gerektirir.
5. Veri ihlali bildirimi: Araçta ihlal bildirim prosedürleri nelerdir? GDPR Madde 33, denetleyici otoriteye 72 saat içinde bildirim gerektirir. Madde 28, işleyicilerin bir ihlalden haberdar olduktan sonra "gereksiz gecikme olmaksızın" denetleyicileri bilgilendirmesini gerektirir - bu, 72 saatlik süreden önce olmalıdır.
6. DPIA erişilebilirliği: Araç sağlayıcısı kendi DPIA'sını tamamladı mı? Denetleyicinin DPIA'sına dahil edilmek üzere kurumsal müşterilere sunuluyor mu? Kendi işlemesi için DPIA tamamlamayan bir araç sağlayıcısı, denetleyicinin DPIA'sında bir belgelenme açığı yaratır.
7. Silme ve taşınabilirlik desteği: Araç, Madde 17 (silme) ve Madde 20 (taşınabilirlik) yükümlülüklerini yerine getirebilir mi? Hiç kişisel veri saklanmayan sıfır bilgi araçları için, silme sorusu ortaya çıkmayabilir - ancak DPIA bunu belgelenmelidir.
Avusturyalı bir sigorta şirketinin, şikayet anonimleştirme süreci için DPIA tamamlarken talep edebileceği ve alabileceği belgeler: ISO 27001 sertifikası, AB barındırma belgeleri, DPIA ve uyumlu bir araç sağlayıcısından DPA'dır. Bu dört belge, Madde 28 DPIA kapsamını tam olarak sağlar. Denetleyici otorite denetimi, DPIA'nın tamam olduğunu bulur.
Kaynaklar: