GDPR 和第三方风险管理
一般数据保护条例》(GDPR)是一部隐私法,对欧盟(EU)公民数据的使用、移动和保护进行管理。GDPR 涵盖任何收集、存储、处理或传输欧洲个人数据的组织,无论该组织位于何处。GDPR 规定了高达 2000 万欧元或全球收入 4% 的罚款(以较高者为准),以及对个人的补偿性赔偿。
由于第三方通常负责代表客户管理个人数据,因此企业必须特别注意确保这些供应商和合作伙伴的数据保护控制和管理到位。这包括进行数据隐私控制评估;分析潜在风险结果;以及要求第三方对这些风险进行补救,以避免监管、财务和声誉方面的风险。
事实上,GDPR 要求各组织进行风险评估,以确定组织内部和任何会接触到个人数据的第三方的风险。第 76 条--风险评估规定:"应在客观评估的基础上对风险进行评估,从而确定数据处理操作是否涉及风险或高风险"。
满足 GDPR TPRM 要求
以下是 Prevalent 如何帮助您满足 GDPR 第三方风险管理要求:
GDPR 要求
我们如何提供帮助
第 24 条:控制者的责任
第 1 段
考虑到处理的性质、范围、背景和目的,以及对自然人的权利和自由造成的不同可能性和严重程度的风险,控制者应实施适当的技术和组织措施,以确保并能够证明处理是根据本条例进行的。必要时应审查和更新这些措施。
第 24 条援引了两个 "序言 "作为指导:
第 76 段:风险评估
对数据主体的权利和自由造成风险的可能性和严重程度应参照处理的性质、范围、背景和目的来确定。应根据客观评估对风险进行评估,从而确定数据处理操作是否涉及风险或高风险。
第 77 段:风险评估指南
指导控制者或处理者实施适当的措施并证明其合规,特别是在识别与处理有关的风险、评估其来源、性质、可能性和严重性以及确定降低风险的最佳做法方面。
在使用第三方作为 "处理者 "时,信息控制者(所有者)有责任确保每个第三方都有适当的控制措施,以确保个人数据的隐私和安全。
Prevalent 的第三方风险管理平台实现了第三方风险评估的自动化。该平台提供专为 GDPR 设计的调查问卷,并根据 "可能性和严重性 "对风险进行评分,同时根据 GDPR 指南促进补救措施。Prevalent 提供一个包含 750 多个标准化评估模板的库,其中包括 GDPR 和其他与隐私相关的监管标准,以及定制功能和内置工作流。
此外,Prevalent 的控制验证服务根据既定的测试协议审查第三方的评估回复和文件,以验证所指出的控制措施是否到位。
为加快评估速度,Prevalent 的供应商情报网络可提供数千份已完成并经过验证的评估结果,这些结果会不断更新并提供支持证据。
第 25 条 设计和默认情况下的数据保护设计和默认的数据保护
第 1 段
......控制者应在确定处理方式和处理本身时,实施适当的技术和组织措施,如假名化,旨在以有效的方式实施数据保护原则,如数据最小化,并将必要的保障措施纳入处理过程,以满足本条例的要求并保护数据主体的权利。
第 78 号演奏会
适当的技术和组织措施
为了能够证明遵守了本条例,控制者应采取内部政策和实施措施,尤其要符合数据保护设计原则和数据保护默认原则。
Prevalent 为 GDPR 调查和控制设计提供专业技术知识,确保不会遗漏所需的实施细节。它帮助企业将设计合理的系统与 "附加 "的安全和隐私功能区分开来,以确保完全合规。
当第三方使用第 4 方或第 N 方帮助处理数据时,Prevalent 通过详细的关系映射和审计跟踪,为整个供应商生态系统的信息流提供可视性。
第 28 条:处理器
第 1 段
在代表控制者进行处理的情况下,控制者应只使用提供充分保证的处理者,以实施适当的技术和组织措施,使处理符合本条例的要求,并确保数据主体的权利得到保护。
Prevalent 为安全、隐私和风险管理专业人士提供了一个自动化平台,用于管理第三方风险评估流程,并确定是否符合 IT 安全、监管和数据隐私要求,包括 GDPR。它提供双向补救工作流程、实时报告和易于使用的仪表板,以提高效率。通过清晰的报告和补救指导,该平台可确保风险得到识别并升级到适当的渠道。
第 28 条:处理器
第 3 段
该合同或其他法律行为应特别规定处理者:
(f) 考虑到处理的性质和处理者可获得的信息,协助控制者确保遵守第 32 至 36 条规定的义务
Prevalent 为第三方风险管理提供业界唯一的专用统一平台。该平台结合了自动第三方评估和持续威胁监控功能,可简化合规性、降低安全风险并提高效率。该平台通过与特定法规和控制框架(包括 GDPR)相关联的简洁明了的报告,为安全和合规专业人员提供 360 度的数据处理器风险视图,以提高可见性和决策制定能力。
Prevalent 平台可进行合同审查,帮助揭示潜在的合同违规行为,并通过专门的合同评估为续约谈判提供信息。
第 28 条:处理器
第 3 段
该合同或其他法律行为应特别规定处理者:
(h) 向控制者提供一切必要信息,以证明遵守了本条规定的义务,并允许和协助控制者或控制者授权的其他审计员进行审计,包括检查。
Prevalent 第三方风险管理平台包括有效的报告,以满足审计和合规要求,并向董事会和高级管理层展示调查结果。整个风险状况可在一个集中的实时报告控制台中查看,并可下载和导出报告,以确定是否符合 GDPR 规定。深度报告功能包括过滤器和点击式交互图表。该解决方案包括一个完整的资料库,其中包含在尽职调查过程中收集和审查的所有文件。
PrevalentVendor Threat Monitor(VTM) 可提醒企业注意第三方业务的不利变化,并触发有针对性的评估,以应对临时的直接风险。早期警报可让企业有更多时间应对事件,内置的补救指导可帮助企业保护个人数据,避免监管行动和声誉受损。
第 32 条处理的安全性
第 1 段
控制者和处理者应采取适当的技术和组织措施,确保安全水平与风险相适应,包括
(b) 确保处理系统和服务的持续保密性、完整性、可用性和弹性的能力;
(d) 定期检测、评估和评价确保处理安全的技术和组织措施有效性的程序。
第 76 段:风险评估
对数据主体的权利和自由造成风险的可能性和严重程度应参照处理的性质、范围、背景和目的来确定。应根据客观评估对风险进行评估,从而确定数据处理操作是否涉及风险或高风险。
Prevalent 为安全、隐私和风险管理专业人士提供了一个自动化平台,用于管理第三方风险评估流程,并确定是否持续符合 IT 安全、监管和数据隐私要求,包括 GDPR。它采用标准和自定义问卷来帮助收集证据,并提供双向补救工作流、实时报告和易于使用的仪表板,以提高效率。通过清晰的报告和补救指导,该平台可确保风险得到识别并升级到适当的渠道。
第 35 条 数据保护影响评估数据保护影响评估
第 1 段
如果某类处理,特别是使用新技术的处理,并考虑到处理的性质、范围、背景和目的,可能会对自然人的权利和自由造成高风险,则控制者应在处理之前,对所设想的处理操作对个人数据保护的影响进行评估。一次评估可针对一系列具有类似高风险的类似处理操作。
第 7 段
评估应至少包括
1) 系统描述所设想的处理操作和处理目的,包括(如适用)控制者所追求的合法利益;
2) 评估处理操作与目的的必要性和相称性;
3) 对第 1 段所述数据主体的权利和自由所面临的风险进行评估;以及
4) 为应对风险而设想的措施,包括保障措施、安全措施和机制,以确保个人数据得到保护,并在考虑到数据主体和其他相关人员的权利和合法利益的情况下,证明本条例得到遵守。
利用 Prevalent,您可以进行隐私影响评估,以发现存在风险的业务数据和个人身份信息 (PII)。分析风险的来源、性质和严重程度,并获得补救指导。
对于需要更多资源的组织,Prevalent 的供应商风险评估服务专家可以处理从风险收集和分析到报告和补救管理的所有工作。
第 45 条:根据充足性决定进行的转让
第 1 段
如果欧盟委员会认定,第三国、第三国领土或第三国中的一个或多个特定部门,或有关国际组织能够确保充分的保护水平,则可以将个人数据转移到第三国或国际组织。
第 2 段
这种转让不需要任何特别授权。在评估保护水平是否充分时,委员会应特别考虑以下因素:
- 法治、尊重人权和基本自由、相关的一般立法和部门立法,包括有关公共安 全、国防、国家安全和刑法以及公共当局获取个人资料的立法。
Prevalent 支持环境、社会和治理(ESG) 合规性,能够根据一系列 ESG 主题对第三方进行评估,并将评估结果与对供应商实践的持续外部监控联系起来。这包括环境管理、多样性和包容性、人权(如反奴隶制)、劳工标准、财务和税务策略以及整体运营透明度。
此外,Prevalent 还包括数据泄露事件通知监控,可访问包含全球数千家公司 10 多年数据泄露历史的数据库。这包括被盗数据的类型和数量;合规性和监管问题;以及实时供应商数据泄露通知,以帮助确定您正在考虑将数据传输给哪些公司。
