Вимоги Статті 28 до оброблювачів
DPA (Data Processing Agreement) повинна включати:
- Мінімізацію даних
- Конфіденційність та безпеку
- Під-дозволи для операторів
- Доступ до інспекцій
- Повідомлення про порушення
- Вилучення даних
Контрольний список DPO для інструментів анонімізації
Функціональність:
- ☐ Підтримка всіх релевантних форматів даних
- ☐ Точність виявлення ≥95%
- ☐ Контроль якості вихідних даних
- ☐ Логування усіх операцій
- ☐ Отримання контролю
Безпека:
- ☐ Шифрування на транспорті (TLS 1.3+)
- ☐ Шифрування у спокої (AES-256)
- ☐ Управління ключами
- ☐ Контроль доступу
- ☐ Регулярна аудит безпеки
Відповідність:
- ☐ Дизайн конфіденційності
- ☐ Документація обробки
- ☐ Документація алгоритмів
- ☐ План реагування на інциденти
- ☐ Звіти про аудити
Питання для вендора
- Як ви обробляєте дані під DPA?
- Які субпроцесори ви використовуєте?
- Яка ваша політика видалення даних?
- Як ви гарантуєте точність?
- Яка ваша процедура аудиту?