Чому відповідальні за захист даних повинні перевіряти інструменти анонімізації
GDPR вимагає проведення Оцінки впливу на захист даних (DPIA) для високоризикованої роботи. Масштабна обробка персональних даних є високоризикованою. Інструмент анонімізації є обробником даних. Він підпадає під правила для обробників. Вам потрібно оцінити його до запуску.
Потрібні дві речі. Обробники повинні надавати «достатні гарантії» безпеки. Уся обробка має регулюватися письмовим договором. Як відповідальний за захист даних, задокументуйте засоби безпеки інструменту, його субобробників, де він зберігає ваші файли, як він реагує на витоки та угоду про обробку даних (DPA).
Сертифікація ISO 27001 скорочує роботу. BSI виявив, що сертифіковані компанії скорочують час на анкети з безпеки на 73%. Gartner виявив, що ISO 27001 вимагається в 78% тендерів компаній зі списку Fortune 500. Сертифікований інструмент дозволяє послатися на сертифікат. Вам не потрібно перевіряти кожен засіб контролю вручну. Несертифіковані інструменти потребують більш ретельної ручної перевірки.
Ознайомтеся з нашим оглядом відповідності та сторінкою безпеки, щоб дізнатися, як ми відповідаємо цим вимогам.
Сім речей для перевірки
Використовуйте цей список для будь-якого інструменту або постачальника анонімізації.
1. Угода про обробку даних. Чи є угода про обробку даних, що відповідає GDPR? Вона повинна охоплювати: обробку лише за вашими дорученнями, обов'язок дбайливості, заходи безпеки, контроль субобробників, допомогу із запитами щодо прав, знищення або повернення файлів та права аудиту.
2. Документи з безпеки. Чи задокументовані заходи безпеки? Сертифіковані постачальники ISO 27001 можуть посилатися на свій сертифікат та Заяву про застосовність. Це задовольняє вимогу.
3. Список субобробників. Чи використовує інструмент субобробників? Чи вони названі? Вам потрібне попереднє повідомлення про будь-які зміни. Хмарні хости, CDN та інструменти OCR — всі враховуються. Відсутні найменування є поширеною прогалиною.
4. Де зберігаються файли. Чи зберігаються ваші дані в ЄС? Хостинг у ЄС є найпростішим варіантом для компаній, що базуються в ЄС. Інструменти з нульовим знанням також підходять — файли взагалі не покидають ваш пристрій. Постачальники з США потребують Стандартних договірних статей (SCC).
5. Повідомлення про витік. Як швидко постачальник повідомить вас про витік? Закон вимагає повідомлення регулятора протягом 72 годин. Ваш постачальник повинен попередити вас першим. Перевірте, чи підтверджує це DPA.
6. DPIA постачальника. Чи проводив постачальник власну DPIA? Чи можна з нею ознайомитися? Відсутність DPIA означає прогалину у ваших власних записах. Це часта проблема.
7. Видалення та портативність. Чи може постачальник обробляти запити на видалення та портативність? Інструменти з нульовим знанням не зберігають файлів, тому видалення може не застосовуватися. DPIA повинна це вказати.
Хороший постачальник надає вам чотири документи: сертифікат ISO 27001, підтвердження хостингу в ЄС, власну DPIA та підписану угоду про обробку даних. Ці чотири документи заповнюють кожну прогалину у вашій власній DPIA. Ваш регулятор буде задоволений.
Прочитайте наш FAQ для відповідальних за захист даних для відповідей на поширені запитання щодо перевірки постачальників.