Кога DPA е законово задължителен?

Винаги когато администратор ангажира обработващ за обработка на лични данни на жители на ЕС или ЕИП. Администраторите и обработващите извън ЕС са еднакво обхванати, ако обработват данни на жители на ЕС. Обединеното кралство има собствен почти идентичен режим под UK GDPR.

Каква е разликата между DPA и договор за услуги?

Договор за услуги (или рамково споразумение) покрива търговските отношения — обхват, цена, SLA. DPA конкретно покрива защитата на данните и може да бъде самостоятелен документ, приложение или раздел от основния договор. Повечето зрели SaaS доставчици използват самостоятелен DPA, включен чрез препратка.

Нужен ли ми е нов DPA за всеки клиент?

Повечето доставчици поддържат един DPA шаблон, който използват с всички клиенти, договаряйки само специфични за клиента допълнения (напр. конкретен списък на под-обработващи или честота на одит). Стандартен DPA ускорява procurement-а; DPA, изработени по поръчка, значително забавят циклите на сделки.

Споразумение за Обработка на Данни (DPA)

Data Processing Agreement · Споразумение по чл. 28 GDPR · GDPR DPA

Споразумението за Обработка на Данни (DPA) е договор между администратор и обработващ лични данни, който определя как могат да се обработват личните данни от името на администратора. Съгласно член 28 от GDPR, DPA е задължителен винаги когато администратор използва обработващ и трябва да покрива предмет, продължителност, обхват и задължения на обработващия.

Какво всъщност прави DPA

DPA превежда абстрактните задължения на обработващия съгласно GDPR в конкретни договорни ангажименти. Определя какви данни се обработват и защо, за колко време, кой се счита за под-обработващ и как се одобрява, какви мерки за сигурност се прилагат, как се докладват нарушения на данни, как функционират правата за одит, какво се случва в края на отношенията и как се обработват международните трансфери. За всеки доставчик на SaaS, който съхранява или обработва лични данни от името на клиенти, ориентирани към ЕС, съвместим DPA е предпоставка за продажба — екипите за снабдяване не подписват без него. За клиентите DPA е това, което прави доставчика правно отговорен за ангажиментите за сигурност, обещани от маркетинговите страници.

Защо е важно

Глобите по GDPR се изчисляват като процент от глобалния оборот, а DPA са основният договорен механизъм, който администраторите използват за разпределяне на риска от съответствие. Слаб DPA оставя администратора изложен, ако обработващият се справя зле с данните; силен DPA налага конкретни ангажименти за сигурност, права за одит и бързо уведомяване. За доставчиците качеството на DPA е предиктор за размера на сделката: enterprise клиентите изискват зрели DPA със специфични списъци на под-обработващи, права за одит и определени срокове. Общ шаблон вече не минава enterprise procurement.

Чести капани

1.Списъкът на под-обработващите липсва или е остарял — GDPR изисква администраторът да знае кой всъщност докосва неговите данни.
2.Срокът за уведомяване за нарушение е неясен — "възможно най-скоро" се заменя с конкретни часове (24, 48, 72) в зрели DPA.
3.Правата за одит отсъстват или са чисто хипотетични — администраторите обикновено се нуждаят или от одит на място, или от скорошен доклад SOC 2 / ISO 27001.
4.Механизмът за международен трансфер не е специфициран — след Schrems II, DPA трябва да посочват механизма (СДК, решение за адекватност) и да покриват допълнителни мерки.
5.Връщането или изтриването на данни при прекратяване е по избор — GDPR го прави задължително; DPA трябва да посочва кое и до кога.

Свързани термини

Споразумение за конфиденциалност (NDA)→Обезщетение (Indemnification)→Due Diligence→

Често задавани въпроси

Кога DPA е законово задължителен?: Винаги когато администратор ангажира обработващ за обработка на лични данни на жители на ЕС или ЕИП. Администраторите и обработващите извън ЕС са еднакво обхванати, ако обработват данни на жители на ЕС. Обединеното кралство има собствен почти идентичен режим под UK GDPR.
Каква е разликата между DPA и договор за услуги?: Договор за услуги (или рамково споразумение) покрива търговските отношения — обхват, цена, SLA. DPA конкретно покрива защитата на данните и може да бъде самостоятелен документ, приложение или раздел от основния договор. Повечето зрели SaaS доставчици използват самостоятелен DPA, включен чрез препратка.
Нужен ли ми е нов DPA за всеки клиент?: Повечето доставчици поддържат един DPA шаблон, който използват с всички клиенти, договаряйки само специфични за клиента допълнения (напр. конкретен списък на под-обработващи или честота на одит). Стандартен DPA ускорява procurement-а; DPA, изработени по поръчка, значително забавят циклите на сделки.

Вашето DPA с Attorly е готово за преглед

Attorly доставя DPA в съответствие с член 28 от GDPR, покриващ криптиране в покой и при предаване, Bring-Your-Own-Key на Enterprise и уведомяване за нарушения в рамките на 72 часа.

Вижте DPA на Attorly