DPIA 供应商评估要求
GDPR 第 35 条要求对可能导致对个人权利和自由的高风险的处理进行数据保护影响评估。大规模处理个人数据(第 35 条第 3 款(b))属于此要求。当组织部署匿名化工具用于大规模 PII 处理时,DPIA 必须根据 GDPR 第 28 条评估该工具作为数据处理者。
第 28 条要求数据处理者提供 "足够的保证以实施适当的技术和组织措施",并且处理必须 "受合同或其他法律行为的管辖,依据欧盟或成员国法律"。完成匿名化工具的 DPIA 的数据保护官必须记录:该工具的安全措施、其子处理者关系、数据驻留、数据泄露通知程序以及管理关系的数据处理协议。
ISO 27001 认证显著减少了 DPIA 文档负担:BSI 研究(2024)发现,ISO 27001 认证的组织将安全问卷的时间减少了 73%。Gartner 发现,财富 500 强的安全采购在 78% 的 RFP 中要求 ISO 27001。当匿名化工具获得 ISO 27001 认证时,DPIA 可以引用该认证,而不是尝试独立验证该工具的安全控制。
第 28 条供应商评估清单
评估匿名化工具是否符合 GDPR 第 28 条要求的数据保护官应验证:
1. 数据处理协议: 是否有符合 GDPR 的数据处理协议?它是否涵盖所有必要的第 28 条条款:仅根据文档化的指示进行处理、保密义务、安全措施、子处理者控制、数据主体权利协助、合同结束时的删除或返回,以及审计合作?
2. 安全措施文档: 技术和组织安全措施是否以满足第 32 条的方式进行了文档化?对于 ISO 27001 认证的工具,认证和适用性声明提供了此文档。
3. 子处理者透明度: 该工具是否使用子处理者?它们是否被列出并可访问?子处理者的变更需要提前通知控制者。使用多个云基础设施提供商(用于冗余、CDN 等)的工具必须记录每个子处理者。
4. 数据驻留: 个人数据在哪里处理和存储?对于基于欧盟的数据保护官,要求欧盟数据驻留或零知识架构(不将个人数据传输到服务器)。基于美国的工具需要文档化的 SCC 或 BCR。
5. 数据泄露通知: 该工具的泄露通知程序是什么?GDPR 第 33 条要求在 72 小时内通知监管机构。第 28 条要求处理者在意识到泄露后 "毫不延迟" 通知控制者——这必须在 72 小时的时钟之前。
6. DPIA 可用性: 工具提供者是否完成了自己的 DPIA?它是否可供企业客户纳入控制者的 DPIA?未为其自身处理完成 DPIA 的工具提供者在控制者的 DPIA 中造成了文档缺口。
7. 删除和可移植性支持: 该工具能否履行第 17 条(删除)和第 20 条(可移植性)义务?对于不存储个人数据的零知识工具,删除问题可能不会出现——但 DPIA 必须对此进行文档化。
完成其投诉匿名化过程的奥地利保险公司数据保护官可以请求并接收:ISO 27001 证书、欧盟托管文档、DPIA 和合规工具提供者的 DPA。这四份文档提供了完整的第 28 条 DPIA 覆盖。监管机构审计发现 DPIA 完整。
来源: