Kdy je DPA právně vyžadována?

Kdykoli správce využívá zpracovatele k nakládání s osobními údaji obyvatel EU nebo EHP. Správci a zpracovatelé mimo EU jsou stejně pokryti, pokud zpracovávají data obyvatel EU. Spojené království má téměř identický režim podle UK GDPR.

Jaký je rozdíl mezi DPA a smlouvou o službách?

Smlouva o službách (nebo rámcová smlouva) pokrývá obchodní vztah — rozsah, cenu, SLA. DPA specificky pokrývá ochranu dat a může být samostatným dokumentem, přílohou nebo částí hlavní smlouvy. Většina zralých poskytovatelů SaaS používá samostatnou DPA zahrnutou odkazem.

Potřebuji novou DPA pro každého zákazníka?

Většina poskytovatelů udržuje jednu šablonu DPA, kterou používají se všemi zákazníky, a vyjednávají pouze doplňky specifické pro zákazníka (např. konkrétní seznam sub-zpracovatelů nebo frekvence auditu). Standardní DPA urychluje procurement; DPA na míru významně zpomalují obchodní cykly.

Smlouva o zpracování osobních údajů (DPA)

Data Processing Agreement · Smlouva dle čl. 28 GDPR · GDPR DPA

Smlouva o zpracování osobních údajů (DPA) je smlouva mezi správcem a zpracovatelem, která definuje, jak lze osobní údaje zpracovávat jménem správce. Podle článku 28 GDPR je DPA povinná vždy, když správce využívá zpracovatele, a musí pokrývat předmět, dobu trvání, rozsah a povinnosti zpracovatele.

Co DPA vlastně dělá

DPA překládá abstraktní povinnosti zpracovatele podle GDPR do konkrétních smluvních závazků. Definuje, jaká data se zpracovávají a proč, jak dlouho, kdo se počítá za sub-zpracovatele a jak je schvalován, jaká bezpečnostní opatření platí, jak se hlásí porušení dat, jak fungují auditní práva, co se stane na konci vztahu a jak jsou řešeny mezinárodní přenosy. Pro jakéhokoli poskytovatele SaaS, který ukládá nebo zpracovává osobní údaje pro zákazníky zaměřené na EU, je konformní DPA obchodní předpoklad — obchodní týmy bez ní nepodepíšou. Pro zákazníky DPA činí poskytovatele právně odpovědným za bezpečnostní závazky slibované marketingovými stránkami.

Proč na tom záleží

Pokuty GDPR jsou počítány jako procento globálního obratu a DPA jsou hlavním smluvním mechanismem, kterým správci alokují riziko souladu. Slabá DPA nechává správce vystaveného, pokud zpracovatel špatně zachází s daty; silná DPA vynucuje konkrétní bezpečnostní závazky, auditní práva a rychlé oznámení. Pro poskytovatele kvalita DPA předpovídá velikost obchodu: enterprise zákazníci vyžadují zralé DPA s konkrétními seznamy sub-zpracovatelů, auditními právy a definovanými lhůtami oznámení. Obecná šablona již neprojde enterprise procurementem.

Časté nástrahy

1.Seznam sub-zpracovatelů chybí nebo je zastaralý — GDPR vyžaduje, aby správce věděl, kdo se skutečně dotýká jeho dat.
2.Lhůta pro oznámení porušení je vágní — "co nejdříve" je ve zralých DPA nahrazena konkrétními hodinami (24, 48, 72).
3.Auditní práva chybí nebo jsou čistě hypotetická — správci obvykle potřebují buď audit na místě, nebo nedávnou zprávu SOC 2 / ISO 27001.
4.Mechanismus mezinárodního přenosu není specifikován — po Schrems II musí DPA pojmenovat mechanismus (SCC, rozhodnutí o odpovídající úrovni) a pokrýt doplňková opatření.
5.Vrácení nebo smazání dat při ukončení je volitelné — GDPR to činí povinným; DPA by měla specifikovat které a do kdy.

Související pojmy

Dohoda o mlčenlivosti (NDA)→Odškodnění (Indemnification)→Due diligence→

Často kladené otázky

Kdy je DPA právně vyžadována?: Kdykoli správce využívá zpracovatele k nakládání s osobními údaji obyvatel EU nebo EHP. Správci a zpracovatelé mimo EU jsou stejně pokryti, pokud zpracovávají data obyvatel EU. Spojené království má téměř identický režim podle UK GDPR.
Jaký je rozdíl mezi DPA a smlouvou o službách?: Smlouva o službách (nebo rámcová smlouva) pokrývá obchodní vztah — rozsah, cenu, SLA. DPA specificky pokrývá ochranu dat a může být samostatným dokumentem, přílohou nebo částí hlavní smlouvy. Většina zralých poskytovatelů SaaS používá samostatnou DPA zahrnutou odkazem.
Potřebuji novou DPA pro každého zákazníka?: Většina poskytovatelů udržuje jednu šablonu DPA, kterou používají se všemi zákazníky, a vyjednávají pouze doplňky specifické pro zákazníka (např. konkrétní seznam sub-zpracovatelů nebo frekvence auditu). Standardní DPA urychluje procurement; DPA na míru významně zpomalují obchodní cykly.

Vaše DPA s Attorly je připravena k revizi

Attorly dodává DPA v souladu s čl. 28 GDPR pokrývající šifrování v klidu a při přenosu, Bring-Your-Own-Key na Enterprise a oznámení porušení do 72 hodin.

Zobrazit DPA Attorly