Kada je DPA zakonski potreban?

Kad god voditelj obrade angažira izvršitelja obrade za rukovanje osobnim podacima stanovnika EU ili EGP-a. Voditelji obrade i izvršitelji izvan EU jednako su pokriveni ako obrađuju podatke stanovnika EU. Ujedinjeno Kraljevstvo ima vlastiti gotovo identičan režim pod UK GDPR-om.

Koja je razlika između DPA-a i ugovora o uslugama?

Ugovor o uslugama (ili okvirni ugovor) pokriva komercijalni odnos — opseg, cijenu, SLA. DPA posebno pokriva zaštitu podataka i može biti samostalan dokument, prilog ili dio glavnog ugovora. Većina zrelih SaaS dobavljača koristi samostalan DPA uključen pozivanjem.

Trebam li novi DPA za svakog klijenta?

Većina dobavljača održava jedan DPA predložak koji koriste sa svim klijentima, pregovarajući samo o specifičnim dodacima za klijenta (npr. konkretan popis pod-izvršitelja ili učestalost revizije). Standardni DPA ubrzava nabavu; DPA po mjeri značajno usporavaju cikluse poslova.

Ugovor o obradi podataka (DPA)

Data Processing Agreement · Ugovor prema članku 28. GDPR-a · GDPR DPA

Ugovor o obradi podataka (DPA) je ugovor između voditelja obrade i izvršitelja obrade koji definira kako se osobni podaci mogu obrađivati u ime voditelja obrade. Prema članku 28. GDPR-a, DPA je obvezan kad god voditelj obrade koristi izvršitelja obrade i mora obuhvaćati predmet, trajanje, opseg i obveze izvršitelja obrade.

Što DPA zapravo radi

DPA prevodi apstraktne obveze izvršitelja obrade iz GDPR-a u konkretne ugovorne obveze. Definira koji se podaci obrađuju i zašto, koliko dugo, tko se smatra pod-izvršiteljem i kako se odobrava, koje sigurnosne mjere se primjenjuju, kako se prijavljuju povrede podataka, kako funkcioniraju prava revizije, što se događa na kraju odnosa i kako se rješavaju međunarodni prijenosi. Za svakog SaaS dobavljača koji pohranjuje ili obrađuje osobne podatke u ime klijenata orijentiranih na EU, usklađeni DPA je prodajni preduvjet — timovi za nabavu ne potpisuju bez njega. Za klijente DPA je ono što dobavljača čini pravno odgovornim za sigurnosne obveze koje obećavaju marketinške stranice.

Zašto je važno

Kazne prema GDPR-u izračunavaju se kao postotak globalnog prometa, a DPA-i su glavni ugovorni mehanizam koji voditelji obrade koriste za alokaciju rizika usklađenosti. Slab DPA ostavlja voditelja obrade izloženim ako izvršitelj obrade loše rukuje podacima; jak DPA nameće konkretne sigurnosne obveze, prava revizije i brzu obavijest. Za dobavljače kvaliteta DPA-a je prediktor veličine posla: enterprise klijenti zahtijevaju zrele DPA-e s konkretnim popisima pod-izvršitelja, pravima revizije i definiranim rokovima. Generički predložak više ne prolazi enterprise nabavu.

Uobičajene zamke

1.Popis pod-izvršitelja obrade nedostaje ili je zastario — GDPR zahtijeva da voditelj obrade zna tko stvarno dodiruje njegove podatke.
2.Rok za obavijest o povredi je nejasan — "što je prije moguće" zamjenjuje se konkretnim satima (24, 48, 72) u zrelim DPA-ima.
3.Prava revizije nedostaju ili su čisto hipotetska — voditelji obrade obično trebaju reviziju na licu mjesta ili nedavni izvještaj SOC 2 / ISO 27001.
4.Mehanizam međunarodnog prijenosa nije specificiran — nakon Schrems II, DPA-i moraju imenovati mehanizam (SCC-ovi, odluka o adekvatnosti) i pokriti dodatne mjere.
5.Vraćanje ili brisanje podataka pri prestanku je opcionalno — GDPR to čini obveznim; DPA bi trebao specificirati koje i do kada.

Povezani pojmovi

Ugovor o povjerljivosti (NDA)→Naknada štete (Indemnification)→Due diligence→

Često postavljana pitanja

Kada je DPA zakonski potreban?: Kad god voditelj obrade angažira izvršitelja obrade za rukovanje osobnim podacima stanovnika EU ili EGP-a. Voditelji obrade i izvršitelji izvan EU jednako su pokriveni ako obrađuju podatke stanovnika EU. Ujedinjeno Kraljevstvo ima vlastiti gotovo identičan režim pod UK GDPR-om.
Koja je razlika između DPA-a i ugovora o uslugama?: Ugovor o uslugama (ili okvirni ugovor) pokriva komercijalni odnos — opseg, cijenu, SLA. DPA posebno pokriva zaštitu podataka i može biti samostalan dokument, prilog ili dio glavnog ugovora. Većina zrelih SaaS dobavljača koristi samostalan DPA uključen pozivanjem.
Trebam li novi DPA za svakog klijenta?: Većina dobavljača održava jedan DPA predložak koji koriste sa svim klijentima, pregovarajući samo o specifičnim dodacima za klijenta (npr. konkretan popis pod-izvršitelja ili učestalost revizije). Standardni DPA ubrzava nabavu; DPA po mjeri značajno usporavaju cikluse poslova.

Vaš DPA s Attorly spreman je za pregled

Attorly isporučuje DPA u skladu s člankom 28. GDPR-a koji pokriva enkripciju u mirovanju i u prijenosu, Bring-Your-Own-Key na Enterprise i obavijest o povredama u roku od 72 sata.

Pogledaj DPA Attorly