Data Processing Agreement · Σύμβαση άρθρου 28 · GDPR DPA
Η Σύμβαση Επεξεργασίας Δεδομένων (DPA) είναι σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία που ορίζει πώς δύνανται να υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου. Σύμφωνα με το άρθρο 28 GDPR, μια DPA είναι υποχρεωτική κάθε φορά που υπεύθυνος χρησιμοποιεί εκτελούντα και πρέπει να καλύπτει αντικείμενο, διάρκεια, εύρος και υποχρεώσεις του εκτελούντος.
Μια DPA μεταφράζει τις αφηρημένες υποχρεώσεις του εκτελούντος βάσει GDPR σε συγκεκριμένες συμβατικές δεσμεύσεις. Ορίζει ποια δεδομένα επεξεργάζονται και γιατί, για πόσο, ποιος θεωρείται υπεκτελεστής και πώς εγκρίνεται, ποια μέτρα ασφαλείας εφαρμόζονται, πώς αναφέρονται παραβιάσεις δεδομένων, πώς λειτουργούν τα δικαιώματα ελέγχου, τι συμβαίνει στο τέλος της σχέσης και πώς αντιμετωπίζονται οι διεθνείς διαβιβάσεις. Για οποιονδήποτε πάροχο SaaS που αποθηκεύει ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό πελατών με έδρα την ΕΕ, μια συμβατή DPA είναι προϋπόθεση πωλήσεων — οι ομάδες προμηθειών δεν υπογράφουν χωρίς αυτήν. Για πελάτες, η DPA είναι αυτή που καθιστά τον πάροχο νομικά υπεύθυνο για τις δεσμεύσεις ασφάλειας που υπόσχονται οι σελίδες μάρκετινγκ.
Τα πρόστιμα GDPR υπολογίζονται ως ποσοστό του παγκόσμιου τζίρου, και οι DPAs είναι ο κύριος συμβατικός μηχανισμός που χρησιμοποιούν οι υπεύθυνοι για να κατανείμουν τον κίνδυνο συμμόρφωσης. Μια αδύναμη DPA αφήνει τον υπεύθυνο εκτεθειμένο αν ο εκτελών κακομεταχειριστεί τα δεδομένα· μια ισχυρή DPA επιβάλλει συγκεκριμένες δεσμεύσεις ασφάλειας, δικαιώματα ελέγχου και γρήγορη ειδοποίηση. Για τους παρόχους, η ποιότητα DPA προβλέπει το μέγεθος της συμφωνίας: πελάτες enterprise απαιτούν ώριμες DPAs με συγκεκριμένες λίστες υπεκτελεστών, δικαιώματα ελέγχου και καθορισμένες προθεσμίες ειδοποίησης παραβιάσεων. Ένα γενικό πρότυπο δεν περνάει πλέον τις προμήθειες enterprise.
Το Attorly παρέχει DPA συμβατή με το άρθρο 28 GDPR που καλύπτει κρυπτογράφηση σε ηρεμία και σε μετάδοση, Bring-Your-Own-Key σε Enterprise και ειδοποίηση παραβίασης εντός 72 ωρών.
Δείτε τη DPA του Attorly