Millal on DPA seaduslikult nõutav?

Alati, kui vastutav töötleja kasutab volitatud töötlejat EL-i või EMP elanike isikuandmete käitlemiseks. EL-ist väljaspool asuvad vastutavad töötlejad ja volitatud töötlejad on võrdselt hõlmatud, kui nad töötlevad EL-i elanike andmeid. Ühendkuningriigil on peaaegu identne režiim UK GDPR-i all.

Mis vahe on DPA-l ja teenuste lepingul?

Teenuste leping (või raamleping) katab ärisuhte — ulatuse, hinna, SLA. DPA katab spetsiifiliselt andmekaitset ja võib olla eraldiseisev dokument, lisa või peamise lepingu osa. Enamik küpseid SaaS-teenuse pakkujaid kasutab eraldiseisvat DPA-d, mis on kaasatud viitega.

Kas mul on vaja iga kliendi jaoks uut DPA-d?

Enamik pakkujaid hoiab ühte DPA-malli, mida kasutavad kõigi klientidega, läbirääkides ainult kliendispetsiifilisi täiendusi (nt konkreetne alatöötlejate loend või auditisagedus). Standardne DPA kiirendab hanget; kliendipõhiselt kohandatud DPA-d aeglustavad oluliselt tehingutsükleid.

Andmetöötlusleping (DPA)

Data Processing Agreement · Artikli 28 leping · GDPR DPA

Andmetöötlusleping (DPA) on leping vastutava töötleja ja volitatud töötleja vahel, mis määratleb, kuidas isikuandmeid võib töödelda vastutava töötleja nimel. GDPR artikli 28 kohaselt on DPA kohustuslik alati, kui vastutav töötleja kasutab volitatud töötlejat, ja peab hõlmama eset, kestust, ulatust ja volitatud töötleja kohustusi.

Mida DPA tegelikult teeb

DPA teisendab GDPR-i abstraktsed volitatud töötleja kohustused konkreetseteks lepingulisteks kohustusteks. See määratleb, milliseid andmeid töödeldakse ja miks, kui kaua, kes loetakse alatöötlejaks ja kuidas see kinnitatakse, millised turvameetmed kehtivad, kuidas teatatakse andmerikkumistest, kuidas toimivad auditiõigused, mis juhtub suhte lõpus ja kuidas käsitletakse rahvusvahelisi edastamisi. Iga SaaS-teenuse pakkuja jaoks, kes salvestab või töötleb isikuandmeid EL-ile suunatud klientide nimel, on nõuetele vastav DPA müügieelduseks — hankemeeskonnad ei kirjuta ilma selleta alla. Klientide jaoks teeb DPA pakkuja õiguslikult vastutavaks turvalisuse kohustuste eest, mida turunduslehed lubavad.

Miks see oluline on

GDPR-i trahvid arvutatakse protsendina ülemaailmsest käibest ja DPA-d on peamine lepinguline mehhanism, mida vastutavad töötlejad kasutavad vastavusriski jaotamiseks. Nõrk DPA jätab vastutava töötleja haavatavaks, kui volitatud töötleja käitleb andmeid halvasti; tugev DPA sunnib konkreetsetele turvalisuse kohustustele, auditiõigustele ja kiirele teavitamisele. Pakkujatele on DPA kvaliteet tehingu suuruse ennustaja: ettevõtete kliendid nõuavad küpseid DPA-sid konkreetsete alatöötlejate loenditega, auditiõigustega ja määratletud teavitamistähtaegadega. Üldine mall ei läbi enam enterprise-hanget.

Levinud lõksud

1.Alatöötlejate loend puudub või on aegunud — GDPR nõuab, et vastutav töötleja teaks, kes tegelikult tema andmeid puudutab.
2.Rikkumisteate tähtaeg on ebamäärane — "nii kiiresti kui võimalik" asendatakse küpsetes DPA-des konkreetsete tundidega (24, 48, 72).
3.Auditiõigused puuduvad või on puhtalt hüpoteetilised — vastutavatel töötlejatel on tavaliselt vaja kas kohapealset auditit või hiljutist SOC 2 / ISO 27001 aruannet.
4.Rahvusvahelise edastamise mehhanism pole määratletud — pärast Schrems II-d peavad DPA-d nimetama mehhanismi (SCC-d, adekvaatsusotsus) ja katma täiendavad meetmed.
5.Andmete tagastamine või kustutamine lõpetamisel on valikuline — GDPR teeb selle kohustuslikuks; DPA peaks täpsustama millist ja millal.

Seotud mõisted

Konfidentsiaalsusleping (NDA)→Hüvitamine (Indemnification)→Hoolsusauditit (Due Diligence)→

Korduma kippuvad küsimused

Millal on DPA seaduslikult nõutav?: Alati, kui vastutav töötleja kasutab volitatud töötlejat EL-i või EMP elanike isikuandmete käitlemiseks. EL-ist väljaspool asuvad vastutavad töötlejad ja volitatud töötlejad on võrdselt hõlmatud, kui nad töötlevad EL-i elanike andmeid. Ühendkuningriigil on peaaegu identne režiim UK GDPR-i all.
Mis vahe on DPA-l ja teenuste lepingul?: Teenuste leping (või raamleping) katab ärisuhte — ulatuse, hinna, SLA. DPA katab spetsiifiliselt andmekaitset ja võib olla eraldiseisev dokument, lisa või peamise lepingu osa. Enamik küpseid SaaS-teenuse pakkujaid kasutab eraldiseisvat DPA-d, mis on kaasatud viitega.
Kas mul on vaja iga kliendi jaoks uut DPA-d?: Enamik pakkujaid hoiab ühte DPA-malli, mida kasutavad kõigi klientidega, läbirääkides ainult kliendispetsiifilisi täiendusi (nt konkreetne alatöötlejate loend või auditisagedus). Standardne DPA kiirendab hanget; kliendipõhiselt kohandatud DPA-d aeglustavad oluliselt tehingutsükleid.

Sinu DPA Attorlyga on ülevaatamiseks valmis

Attorly tarnib GDPR artikli 28 nõuetele vastava DPA, mis katab krüpteerimise rahulolekus ja ülekandes, Bring-Your-Own-Key Enterprise-i tasemel ja rikkumisteate 72 tunni jooksul.

Vaata Attorly DPA-d