Milloin DPA on lakisääteisesti pakollinen?

Aina kun rekisterinpitäjä käyttää käsittelijää käsittelemään EU:n tai ETA:n asukkaiden henkilötietoja. EU:n ulkopuoliset rekisterinpitäjät ja käsittelijät kattavat yhtä lailla, jos he käsittelevät EU-asukkaiden tietoja. Yhdistyneellä kuningaskunnalla on oma lähes identtinen järjestelmä UK GDPR:n alla.

Mitä eroa on DPA:lla ja palvelusopimuksella?

Palvelusopimus (tai puitesopimus) kattaa kaupallisen suhteen — laajuus, hinta, SLA. DPA kattaa erityisesti tietosuojan ja voi olla erillinen asiakirja, liite tai pääsopimuksen osa. Useimmat kypsät SaaS-toimittajat käyttävät erillistä DPA:ta, joka sisällytetään viittauksella.

Tarvitsenko uuden DPA:n jokaiselle asiakkaalle?

Useimmat toimittajat ylläpitävät yhtä DPA-mallia, jota he käyttävät kaikkien asiakkaiden kanssa, neuvotellen vain asiakaskohtaisia täydennyksiä (esim. tietty alihankkijalista tai tarkastustiheys). Standardi DPA nopeuttaa hankintaa; asiakaskohtaiset DPA:t hidastavat kauppasyklejä merkittävästi.

Tietojenkäsittelysopimus (DPA)

Data Processing Agreement · 28 artikla -sopimus · GDPR DPA

Tietojenkäsittelysopimus (DPA) on sopimus rekisterinpitäjän ja käsittelijän välillä, joka määrittelee kuinka henkilötietoja voidaan käsitellä rekisterinpitäjän puolesta. GDPR:n 28 artiklan mukaan DPA on pakollinen aina kun rekisterinpitäjä käyttää käsittelijää, ja sen on katettava kohde, kesto, laajuus ja käsittelijän velvollisuudet.

Mitä DPA todella tekee

DPA muuntaa GDPR:n abstraktit käsittelijävelvoitteet konkreettisiksi sopimussitoumuksiksi. Se määrittelee mitä tietoja käsitellään ja miksi, kuinka kauan, kuka lasketaan alihankkijaksi ja kuinka heidät hyväksytään, mitkä turvatoimet pätevät, kuinka tietoturvaloukkauksista raportoidaan, kuinka tarkastusoikeudet toimivat, mitä tapahtuu suhteen päättyessä ja kuinka kansainvälisiä siirtoja käsitellään. Jokaiselle SaaS-toimittajalle, joka säilyttää tai käsittelee henkilötietoja EU-painotteisten asiakkaiden puolesta, vaatimustenmukainen DPA on myynnin edellytys — hankintatiimit eivät allekirjoita ilman sitä. Asiakkaille DPA on se, joka tekee toimittajasta oikeudellisesti vastuullisen markkinointisivujen lupaamista tietoturvasitoumuksista.

Miksi sillä on väliä

GDPR-sakot lasketaan prosenttiosuutena maailmanlaajuisesta liikevaihdosta, ja DPA:t ovat ensisijainen sopimusmekanismi, jolla rekisterinpitäjät allokoivat vaatimustenmukaisuusriskiä. Heikko DPA jättää rekisterinpitäjän alttiiksi, jos käsittelijä käsittelee tietoja huonosti; vahva DPA pakottaa konkreettisiin turvasitoumuksiin, tarkastusoikeuksiin ja nopeaan rikkomusilmoitukseen. Toimittajille DPA:n laatu ennustaa kaupan kokoa: yritysasiakkaat vaativat kypsiä DPA:ita, joissa on tietyt alihankkijalistat, tarkastusoikeudet ja määritellyt rikkomusten ilmoitusajat. Geneerinen malli ei enää läpäise yrityshankintaa.

Yleiset sudenkuopat

1.Alihankkijalista puuttuu tai on vanhentunut — GDPR edellyttää, että rekisterinpitäjä tietää kuka tosiasiassa käsittelee heidän tietojaan.
2.Rikkomusilmoituksen määräaika on epämääräinen — "niin pian kuin mahdollista" korvataan konkreettisilla tuntimäärillä (24, 48, 72) kypsissä DPA:issa.
3.Tarkastusoikeudet puuttuvat tai ovat puhtaasti hypoteettisia — rekisterinpitäjät tarvitsevat tyypillisesti joko paikan päällä tehtävän tarkastuksen tai tuoreen SOC 2 / ISO 27001 -raportin.
4.Kansainvälisen siirron mekanismia ei ole määritelty — Schrems II:n jälkeen DPA:iden tulee nimetä mekanismi (SCC:t, riittävyyspäätös) ja kattaa täydentävät toimenpiteet.
5.Tietojen palautus tai poistaminen päättymisen yhteydessä on vapaaehtoista — GDPR tekee siitä pakollista; DPA:n tulee määritellä kumpi ja mihin mennessä.

Liittyvät termit

Salassapitosopimus (NDA)→Korvausvelvollisuus (indemnification)→Due diligence→

Usein kysytyt kysymykset

Milloin DPA on lakisääteisesti pakollinen?: Aina kun rekisterinpitäjä käyttää käsittelijää käsittelemään EU:n tai ETA:n asukkaiden henkilötietoja. EU:n ulkopuoliset rekisterinpitäjät ja käsittelijät kattavat yhtä lailla, jos he käsittelevät EU-asukkaiden tietoja. Yhdistyneellä kuningaskunnalla on oma lähes identtinen järjestelmä UK GDPR:n alla.
Mitä eroa on DPA:lla ja palvelusopimuksella?: Palvelusopimus (tai puitesopimus) kattaa kaupallisen suhteen — laajuus, hinta, SLA. DPA kattaa erityisesti tietosuojan ja voi olla erillinen asiakirja, liite tai pääsopimuksen osa. Useimmat kypsät SaaS-toimittajat käyttävät erillistä DPA:ta, joka sisällytetään viittauksella.
Tarvitsenko uuden DPA:n jokaiselle asiakkaalle?: Useimmat toimittajat ylläpitävät yhtä DPA-mallia, jota he käyttävät kaikkien asiakkaiden kanssa, neuvotellen vain asiakaskohtaisia täydennyksiä (esim. tietty alihankkijalista tai tarkastustiheys). Standardi DPA nopeuttaa hankintaa; asiakaskohtaiset DPA:t hidastavat kauppasyklejä merkittävästi.

DPA:si Attorlyn kanssa on valmis tarkastettavaksi

Attorly toimittaa GDPR:n 28 artiklan mukaisen DPA:n, joka kattaa lepo- ja siirtosalauksen, Bring-Your-Own-Key Enterprise-tasolla ja rikkomusilmoituksen 72 tunnin kuluessa.

Näe Attorlyn DPA