Mikor jogszabályilag szükséges a DPA?

Amikor az adatkezelő adatfeldolgozót vesz igénybe EU- vagy EGT-lakosok személyes adatainak kezelésére. Az EU-n kívüli adatkezelők és adatfeldolgozók is ugyanúgy érintettek, ha EU-lakosok adatait dolgozzák fel. Az Egyesült Királyságnak szinte azonos rendszere van az UK GDPR alatt.

Mi a különbség a DPA és a szolgáltatási szerződés között?

A szolgáltatási szerződés (vagy keretmegállapodás) a kereskedelmi kapcsolatot fedi le — hatókör, ár, SLA. A DPA kifejezetten az adatvédelmet fedi le, és lehet önálló dokumentum, melléklet vagy a főszerződés része. A legtöbb érett SaaS-szolgáltató önálló DPA-t használ, amelyet hivatkozással építenek be.

Szükségem van új DPA-ra minden ügyfélhez?

A legtöbb szolgáltató egyetlen DPA-sablont tart fenn, amelyet minden ügyféllel használ, és csak ügyfél-specifikus kiegészítéseket (pl. konkrét alfeldolgozói lista vagy ellenőrzési gyakoriság) tárgyal. A szabványos DPA felgyorsítja a beszerzést; az ügyfélre szabott DPA-k jelentősen lassítják az ügyleti ciklusokat.

Adatfeldolgozási Megállapodás (DPA)

Data Processing Agreement · 28. cikk GDPR megállapodás · GDPR DPA

Az Adatfeldolgozási Megállapodás (DPA) az adatkezelő és adatfeldolgozó közötti szerződés, amely meghatározza, hogyan kezelhetők a személyes adatok az adatkezelő nevében. A GDPR 28. cikke szerint a DPA kötelező, amikor az adatkezelő adatfeldolgozót vesz igénybe, és ki kell terjednie a tárgyra, időtartamra, hatókörre és az adatfeldolgozó kötelezettségeire.

Mit csinál valójában a DPA

A DPA a GDPR absztrakt adatfeldolgozói kötelezettségeit konkrét szerződéses vállalásokká alakítja. Meghatározza, milyen adatokat dolgoznak fel és miért, mennyi ideig, ki számít alfeldolgozónak és hogyan hagyják jóvá, milyen biztonsági intézkedések érvényesek, hogyan jelentik az adatvédelmi incidenseket, hogyan működnek az ellenőrzési jogok, mi történik a kapcsolat végén, és hogyan kezelik a nemzetközi adattovábbításokat. Bármely SaaS-szolgáltatónak, aki EU-irányú ügyfelek nevében személyes adatokat tárol vagy dolgoz fel, a megfelelőségi DPA értékesítési előfeltétel — a beszerzési csapatok nem írnak alá nélküle. Az ügyfelek számára a DPA teszi jogilag felelőssé a szolgáltatót a marketing-oldalak által ígért biztonsági vállalásokért.

Miért számít

A GDPR-bírságokat a globális forgalom százalékában számítják, és a DPA-k az elsődleges szerződéses mechanizmus, amelyet az adatkezelők a megfelelőségi kockázat elosztására használnak. A gyenge DPA kiteszi az adatkezelőt, ha az adatfeldolgozó rosszul kezeli az adatokat; az erős DPA konkrét biztonsági vállalásokat, ellenőrzési jogokat és gyors értesítést kényszerít ki. A szolgáltatók számára a DPA minősége előrevetíti az ügylet méretét: az enterprise ügyfelek érett DPA-kat követelnek konkrét alfeldolgozói listákkal, ellenőrzési jogokkal és meghatározott értesítési határidőkkel. Egy általános sablon már nem megy át az enterprise beszerzésen.

Gyakori csapdák

1.Az alfeldolgozói lista hiányzik vagy elavult — a GDPR megköveteli, hogy az adatkezelő tudja, ki nyúl valójában az adataihoz.
2.Az incidens-bejelentési határidő homályos — a "mielőbb" konkrét órákra (24, 48, 72) változik az érett DPA-kban.
3.Az ellenőrzési jogok hiányoznak vagy pusztán hipotetikusak — az adatkezelők általában helyszíni ellenőrzésre vagy friss SOC 2 / ISO 27001 jelentésre van szükségük.
4.A nemzetközi adattovábbítási mechanizmus nincs meghatározva — Schrems II után a DPA-knak meg kell nevezniük a mechanizmust (SCC, megfelelőségi határozat), és ki kell térniük a kiegészítő intézkedésekre.
5.Az adatok visszaadása vagy törlése a megszűnéskor opcionális — a GDPR kötelezővé teszi; a DPA-nak meg kell határoznia melyiket és mikorra.

Kapcsolódó fogalmak

Titoktartási szerződés (NDA)→Kártalanítás (Indemnification)→Due diligence→

Gyakori kérdések

Mikor jogszabályilag szükséges a DPA?: Amikor az adatkezelő adatfeldolgozót vesz igénybe EU- vagy EGT-lakosok személyes adatainak kezelésére. Az EU-n kívüli adatkezelők és adatfeldolgozók is ugyanúgy érintettek, ha EU-lakosok adatait dolgozzák fel. Az Egyesült Királyságnak szinte azonos rendszere van az UK GDPR alatt.
Mi a különbség a DPA és a szolgáltatási szerződés között?: A szolgáltatási szerződés (vagy keretmegállapodás) a kereskedelmi kapcsolatot fedi le — hatókör, ár, SLA. A DPA kifejezetten az adatvédelmet fedi le, és lehet önálló dokumentum, melléklet vagy a főszerződés része. A legtöbb érett SaaS-szolgáltató önálló DPA-t használ, amelyet hivatkozással építenek be.
Szükségem van új DPA-ra minden ügyfélhez?: A legtöbb szolgáltató egyetlen DPA-sablont tart fenn, amelyet minden ügyféllel használ, és csak ügyfél-specifikus kiegészítéseket (pl. konkrét alfeldolgozói lista vagy ellenőrzési gyakoriság) tárgyal. A szabványos DPA felgyorsítja a beszerzést; az ügyfélre szabott DPA-k jelentősen lassítják az ügyleti ciklusokat.

Az Attorlyval kötött DPA-ja készen áll az áttekintésre

Az Attorly a GDPR 28. cikkének megfelelő DPA-t szállít, amely lefedi a nyugalmi és átviteli titkosítást, a Bring-Your-Own-Key-t Enterprise szinten, és 72 órán belüli incidens-bejelentést.

Attorly DPA megtekintése