Πότε απαιτείται νομικά μια DPA;

Κάθε φορά που υπεύθυνος επεξεργασίας αναθέτει σε εκτελούντα να χειριστεί δεδομένα προσωπικού χαρακτήρα κατοίκων της ΕΕ ή του ΕΟΧ. Υπεύθυνοι και εκτελούντες εκτός ΕΕ καλύπτονται εξίσου αν επεξεργάζονται δεδομένα κατοίκων ΕΕ. Το Ηνωμένο Βασίλειο έχει σχεδόν πανομοιότυπο καθεστώς υπό τον UK GDPR.

Ποια είναι η διαφορά μεταξύ DPA και σύμβασης υπηρεσιών;

Μια σύμβαση υπηρεσιών (ή κύρια σύμβαση) καλύπτει την εμπορική σχέση — εύρος, τιμή, SLA. Μια DPA καλύπτει ειδικά την προστασία δεδομένων και μπορεί να είναι αυτόνομο έγγραφο, παράρτημα ή τμήμα της κύριας σύμβασης. Οι περισσότεροι ώριμοι πάροχοι SaaS χρησιμοποιούν αυτόνομη DPA που ενσωματώνεται μέσω παραπομπής.

Χρειάζομαι νέα DPA για κάθε πελάτη;

Οι περισσότεροι πάροχοι διατηρούν ένα ενιαίο πρότυπο DPA που χρησιμοποιούν με όλους τους πελάτες, διαπραγματευόμενοι μόνο ειδικά συμπληρώματα ανά πελάτη (π.χ. συγκεκριμένη λίστα υπεκτελεστών ή συχνότητα ελέγχου). Μια τυπική DPA επιταχύνει τις προμήθειες· DPAs ειδικά ανά πελάτη επιβραδύνουν ουσιαστικά τους κύκλους.

Σύμβαση Επεξεργασίας Δεδομένων (DPA)

Data Processing Agreement · Σύμβαση άρθρου 28 · GDPR DPA

Η Σύμβαση Επεξεργασίας Δεδομένων (DPA) είναι σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία που ορίζει πώς δύνανται να υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου. Σύμφωνα με το άρθρο 28 GDPR, μια DPA είναι υποχρεωτική κάθε φορά που υπεύθυνος χρησιμοποιεί εκτελούντα και πρέπει να καλύπτει αντικείμενο, διάρκεια, εύρος και υποχρεώσεις του εκτελούντος.

Τι κάνει πραγματικά μια DPA

Μια DPA μεταφράζει τις αφηρημένες υποχρεώσεις του εκτελούντος βάσει GDPR σε συγκεκριμένες συμβατικές δεσμεύσεις. Ορίζει ποια δεδομένα επεξεργάζονται και γιατί, για πόσο, ποιος θεωρείται υπεκτελεστής και πώς εγκρίνεται, ποια μέτρα ασφαλείας εφαρμόζονται, πώς αναφέρονται παραβιάσεις δεδομένων, πώς λειτουργούν τα δικαιώματα ελέγχου, τι συμβαίνει στο τέλος της σχέσης και πώς αντιμετωπίζονται οι διεθνείς διαβιβάσεις. Για οποιονδήποτε πάροχο SaaS που αποθηκεύει ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό πελατών με έδρα την ΕΕ, μια συμβατή DPA είναι προϋπόθεση πωλήσεων — οι ομάδες προμηθειών δεν υπογράφουν χωρίς αυτήν. Για πελάτες, η DPA είναι αυτή που καθιστά τον πάροχο νομικά υπεύθυνο για τις δεσμεύσεις ασφάλειας που υπόσχονται οι σελίδες μάρκετινγκ.

Γιατί έχει σημασία

Τα πρόστιμα GDPR υπολογίζονται ως ποσοστό του παγκόσμιου τζίρου, και οι DPAs είναι ο κύριος συμβατικός μηχανισμός που χρησιμοποιούν οι υπεύθυνοι για να κατανείμουν τον κίνδυνο συμμόρφωσης. Μια αδύναμη DPA αφήνει τον υπεύθυνο εκτεθειμένο αν ο εκτελών κακομεταχειριστεί τα δεδομένα· μια ισχυρή DPA επιβάλλει συγκεκριμένες δεσμεύσεις ασφάλειας, δικαιώματα ελέγχου και γρήγορη ειδοποίηση. Για τους παρόχους, η ποιότητα DPA προβλέπει το μέγεθος της συμφωνίας: πελάτες enterprise απαιτούν ώριμες DPAs με συγκεκριμένες λίστες υπεκτελεστών, δικαιώματα ελέγχου και καθορισμένες προθεσμίες ειδοποίησης παραβιάσεων. Ένα γενικό πρότυπο δεν περνάει πλέον τις προμήθειες enterprise.

Συχνές παγίδες

1.Η λίστα υπεκτελεστών λείπει ή είναι παρωχημένη — ο GDPR απαιτεί ο υπεύθυνος να γνωρίζει ποιος πραγματικά αγγίζει τα δεδομένα του.
2.Η προθεσμία ειδοποίησης παραβίασης είναι αόριστη — το "το συντομότερο δυνατό" αντικαθίσταται από συγκεκριμένες ώρες (24, 48, 72) σε ώριμες DPAs.
3.Τα δικαιώματα ελέγχου απουσιάζουν ή είναι καθαρά υποθετικά — οι υπεύθυνοι συνήθως χρειάζονται είτε επιτόπιο έλεγχο είτε πρόσφατη έκθεση SOC 2 / ISO 27001.
4.Ο μηχανισμός διεθνούς διαβίβασης είναι ακαθόριστος — μετά τη Schrems II, οι DPAs πρέπει να ονοματίζουν τον μηχανισμό (SCCs, απόφαση επάρκειας) και να καλύπτουν συμπληρωματικά μέτρα.
5.Η επιστροφή ή διαγραφή δεδομένων κατά τη λήξη είναι προαιρετική — ο GDPR την καθιστά υποχρεωτική· η DPA πρέπει να ορίζει ποια και έως πότε.

Σχετικοί όροι

Συμφωνία Εμπιστευτικότητας (NDA)→Αποζημίωση (Indemnification)→Due Diligence→

Συχνές ερωτήσεις

Πότε απαιτείται νομικά μια DPA;: Κάθε φορά που υπεύθυνος επεξεργασίας αναθέτει σε εκτελούντα να χειριστεί δεδομένα προσωπικού χαρακτήρα κατοίκων της ΕΕ ή του ΕΟΧ. Υπεύθυνοι και εκτελούντες εκτός ΕΕ καλύπτονται εξίσου αν επεξεργάζονται δεδομένα κατοίκων ΕΕ. Το Ηνωμένο Βασίλειο έχει σχεδόν πανομοιότυπο καθεστώς υπό τον UK GDPR.
Ποια είναι η διαφορά μεταξύ DPA και σύμβασης υπηρεσιών;: Μια σύμβαση υπηρεσιών (ή κύρια σύμβαση) καλύπτει την εμπορική σχέση — εύρος, τιμή, SLA. Μια DPA καλύπτει ειδικά την προστασία δεδομένων και μπορεί να είναι αυτόνομο έγγραφο, παράρτημα ή τμήμα της κύριας σύμβασης. Οι περισσότεροι ώριμοι πάροχοι SaaS χρησιμοποιούν αυτόνομη DPA που ενσωματώνεται μέσω παραπομπής.
Χρειάζομαι νέα DPA για κάθε πελάτη;: Οι περισσότεροι πάροχοι διατηρούν ένα ενιαίο πρότυπο DPA που χρησιμοποιούν με όλους τους πελάτες, διαπραγματευόμενοι μόνο ειδικά συμπληρώματα ανά πελάτη (π.χ. συγκεκριμένη λίστα υπεκτελεστών ή συχνότητα ελέγχου). Μια τυπική DPA επιταχύνει τις προμήθειες· DPAs ειδικά ανά πελάτη επιβραδύνουν ουσιαστικά τους κύκλους.

Η DPA σας με το Attorly είναι έτοιμη προς έλεγχο

Το Attorly παρέχει DPA συμβατή με το άρθρο 28 GDPR που καλύπτει κρυπτογράφηση σε ηρεμία και σε μετάδοση, Bring-Your-Own-Key σε Enterprise και ειδοποίηση παραβίασης εντός 72 ωρών.

Δείτε τη DPA του Attorly