Перевірка сторонніх обробників даних

Що таке Перевірка сторонніх обробників даних?

Перевірка сторонніх обробників даних — це процес належної обачності, що вимагається статтею 28 GDPR, яка зобов'язує контролерів використовувати лише обробників, що надають 'достатні гарантії' належних технічних та організаційних заходів захисту даних. Ви несете пряму відповідальність за порушення відповідності Вашими обробниками, тому перевірка — це не формальність. Ця вправа моделює оцінку SaaS-постачальника, якого Ваша організація хоче залучити для обробки даних клієнтів. Ви перевірите його сертифікати безпеки, практики поводження з даними, домовленості щодо субобробників та процедури повідомлення про витоки. Сценарій включає реалістичну Угоду про обробку даних (DPA) з пунктами, які Вам потрібно оцінити, зокрема деякі з них не відповідають вимогам GDPR. Ви виявите прогалини, такі як відсутність зобов'язань щодо повідомлення про субобробників, розмиті зобов'язання щодо видалення даних та неадекватні права аудиту. Вправа також охоплює питання міжнародної передачі даних: якщо Ваш обробник використовує інфраструктуру за межами ЄЕЗ, Вам потрібно переконатися, що належні гарантії впроваджені відповідно до Розділу V. Реальні приклади правозастосування ілюструють ставки. Наглядові органи притягували контролерів до відповідальності за порушення обробників, включаючи випадки, коли обробник зазнав витоку, який контролер міг запобігти через кращу належну обачність. Ви побудуєте фреймворк оцінки постачальників, який Ваша команда закупівель зможе використовувати повторно, перетворюючи одноразову вправу з відповідності на повторювану організаційну здатність.

Що ви дізнаєтесь у Перевірка сторонніх обробників даних

• Оцінювати, чи надає обробник достатні гарантії за статтею 28 GDPR через перевірку задокументованих доказів
• Перевіряти Угоди про обробку даних на наявність обов'язкових пунктів, включаючи контроль субобробників, права аудиту та зобов'язання щодо видалення
• Оцінювати механізми міжнародної передачі даних постачальника, коли інфраструктура поширюється за межі ЄЕЗ
• Виявляти типові недоліки DPA, що створюють прогалини у відповідності, та домовлятися про виправлення до підписання
• Побудувати повторюваний фреймворк оцінки постачальників, що інтегрує належну обачність за GDPR у робочі процеси закупівель

Перевірка сторонніх обробників даних — Кроки навчання

1. вступ

   Сьогодні маркетингова команда подала запит на залучення нового постачальника аналітики електронної пошти під назвою DataPulse Analytics. Перш ніж підписати будь-який контракт, вам потрібно переглянути їх Угоду про обробку даних (DPA) на відповідність GDPR.

2. Розуміючи свою відповідальність

   Відповідно до статті 28 GDPR організації, які використовують сторонні процесори, несуть відповідальність за те, щоб ці процесори правильно обробляли персональні дані. Це означає: За законом необхідна письмова угода про обробку даних DPA має містити конкретні обов’язкові положення Ви несете відповідальність, якщо ваш обробник порушує GDPR Належна перевірка має бути проведена ПЕРЕД підписанням будь-якого контракту Ваше завдання — захистити TechForward від ризиків відповідності, виявляючи проблеми, перш ніж вони стануть юридичними зобов’язаннями.

3. Доступ до порталу закупівель

   Ви отримуєте сповіщення про те, що новий запит постачальника очікує на розгляд. Команда відділу маркетингу дуже хоче почати використовувати DataPulse Analytics для відстеження кампанії за перший квартал. Увійдіть на портал закупівель, щоб переглянути запит і запропонований постачальником DPA.

4. Розгляд запиту постачальника

   Ви бачите запит, який очікує на розгляд від команди маркетингу. DataPulse Analytics надає аналітику кампаній електронної пошти - відстежує частоту відкриття, рейтинг кліків і залученість передплатників. Це означає, що вони оброблятимуть персональні дані, включаючи адреси електронної пошти, дані про поведінку та, можливо, інформацію про пристрої від клієнтів TechForward. Постачальник додав свій стандартний DPA. Давайте уважно розглянемо його.

5. Перший червоний прапор - невизначені заходи безпеки

   Коли ви переглядаєте DPA, перша проблема вискакує відразу. У розділі «Заходи безпеки» в угоді просто зазначено: «DataPulse Analytics підтримує галузеві стандартні заходи безпеки для захисту персональних даних». Це надто розпливчасто. Стаття 32 GDPR вимагає конкретних відповідних технічних та організаційних заходів, а не загальних обіцянок.

6. Другий червоний прапорець - Застереження про відсутність субпроцесора

   Продовжуючи перегляд, ви шукаєте положення субпроцесора. Це критично, оскільки DataPulse, ймовірно, використовує постачальників хмарної інфраструктури, служби доставки електронної пошти чи інших постачальників для керування своєю платформою. Ви не знаходите... нічого. DPA взагалі не згадує субпроцесори. Згідно з GDPR, обробники повинні отримати дозвіл, перш ніж залучати суб-обробників, і всі суб-обробники повинні мати однакові зобов’язання щодо захисту даних.

7. Третій червоний прапорець – відсутність прав на аудит

   Ви шукаєте положення про аудит та інспекцію – ще один обов’язковий елемент відповідно до статті 28. Як контролер даних, TechForward має право перевіряти, чи дійсно обробники дотримуються своїх зобов’язань. DPA не містить жодних положень про аудити. Без прав на перевірку ви не зможете перевірити твердження DataPulse про відповідність вимогам. Ви б їм сліпо довіряли.

8. Четвертий червоний прапор – проблеми з міжнародним трансфером

   DPA зазначає, що дані обробляються на серверах у США. Однак немає жодної згадки про стандартні договірні положення (SCC), рішення про достатність або будь-який інший механізм передачі. Передача персональних даних за межі ЄЕЗ вимагає спеціальних правових гарантій. Без них ця передача була б незаконною згідно з розділом V GDPR.

9. П’ятий червоний прапорець – немає часової шкали видалення даних

   Нарешті, ви перевіряєте, що відбувається з даними TechForward після закінчення контракту. DPA зазначає: «Після припинення дії DataPulse Analytics видалить або поверне дані за запитом контролера». На перший погляд це звучить розумно, але немає конкретного терміну. Без кінцевого терміну дані можуть залишатися в їхніх системах нескінченно довго. GDPR вимагає, щоб дані видалялися або поверталися одразу після завершення обробки.

10. Документування вашої оцінки

    Ви визначили п’ять критичних проблем із DPA DataPulse: 1. Нечіткі заходи безпеки (немає спеціальних технічних засобів контролю) 2. Відсутність сповіщень субпроцесора чи вимог авторизації 3. TechForward не має прав на аудит чи перевірку 4. Міжнародні перекази без SCC або гарантій 5. Немає термінів видалення даних після закінчення контракту Тепер вам потрібно задокументувати ці висновки у формі оцінки постачальника та вказати необхідні зміни, перш ніж контракт можна буде продовжити.