Hvenær er DPA lagalega nauðsynlegt?

Þegar ábyrgðaraðili notar vinnsluaðila til að meðhöndla persónuupplýsingar íbúa ESB eða EES. Ábyrgðaraðilar og vinnsluaðilar utan ESB eru jafn þaktir ef þeir vinna gögn ESB-íbúa. Bretland hefur eigin nær samhliða kerfi undir UK GDPR.

Hver er munurinn á DPA og þjónustusamningi?

Þjónustusamningur (eða rammasamningur) nær yfir viðskiptasambandið — umfang, verð, SLA. DPA nær sérstaklega yfir gagnavernd og getur verið sjálfstætt skjal, viðauki eða hluti af aðalsamningnum. Flestir þroskaðir SaaS-söluaðilar nota sjálfstætt DPA sem er fellt inn með tilvísun.

Þarf ég nýtt DPA fyrir hvern viðskiptavin?

Flestir söluaðilar halda einu DPA-sniðmáti sem þeir nota með öllum viðskiptavinum og semja aðeins um viðskiptavinasértæka viðbætur (t.d. sérstakan undirvinnsluaðilalista eða úttektartíðni). Staðlað DPA flýtir fyrir innkaupum; viðskiptavinasértæk DPAs hægja verulega á samningahringrásum.

Gagnavinnslusamningur (DPA)

Data Processing Agreement · 28. gr. samningur · GDPR DPA

Gagnavinnslusamningur (DPA) er samningur milli ábyrgðaraðila og vinnsluaðila sem skilgreinir hvernig persónuupplýsingar mega vinnast fyrir hönd ábyrgðaraðilans. Samkvæmt 28. grein GDPR er DPA skylt þegar ábyrgðaraðili notar vinnsluaðila og verður að ná yfir efni, tíma, umfang og skyldur vinnsluaðilans.

Hvað DPA gerir í raun

DPA breytir óhlutbundnum skyldum vinnsluaðila samkvæmt GDPR í áþreifanlegar samningsbundnar skuldbindingar. Hann skilgreinir hvaða gögn eru unnin og hvers vegna, hversu lengi, hver telst undirvinnsluaðili og hvernig hann er samþykktur, hvaða öryggisráðstafanir gilda, hvernig gagnabrot eru tilkynnt, hvernig úttektarréttur virkar, hvað gerist við lok sambandsins og hvernig alþjóðlegar flutningar eru meðhöndlaðar. Fyrir hvaða SaaS-söluaðila sem geymir eða vinnur persónuupplýsingar fyrir ESB-miðaða viðskiptavini er DPA í samræmi forsenda sölu — innkaupadeildir skrifa ekki undir án þess. Fyrir viðskiptavini er DPA það sem gerir söluaðila lagalega ábyrgan fyrir öryggisskuldbindingum sem markaðssíður lofa.

Af hverju það skiptir máli

GDPR-sektir eru reiknaðar sem hlutfall af heimsveltu og DPAs eru aðalsamningsleiðin sem ábyrgðaraðilar nota til að úthluta regluáhættu. Veikur DPA skilur ábyrgðaraðilann eftir útsettan ef vinnsluaðilinn meðhöndlar gögn illa; sterkur DPA þvingar áþreifanlegar öryggisskuldbindingar, úttektarrétt og skjóta tilkynningu. Fyrir söluaðila spáir DPA-gæði stærð samnings fyrir: stórfyrirtækjakúnnar krefjast þroskaðra DPAs með sérstökum undirvinnsluaðilalistum, úttektarrétti og skilgreindum tímamörkum. Almennt sniðmát stenst ekki lengur innkaup stórfyrirtækja.

Algengar gildrur

1.Undirvinnsluaðilalisti vantar eða er úreltur — GDPR krefst þess að ábyrgðaraðilinn viti hver raunverulega snertir gögn hans.
2.Tilkynningarfrestur gagnabrots er óljós — "eins fljótt og auðið er" er skipt út fyrir áþreifanlega klukkustundafjölda (24, 48, 72) í þroskuðum DPAs.
3.Úttektarréttur vantar eða er eingöngu tilgáta — ábyrgðaraðilar þurfa yfirleitt annaðhvort úttekt á staðnum eða nýlega SOC 2 / ISO 27001-skýrslu.
4.Flutningaskipulag fyrir alþjóðlegar flutningar er ótilgreint — eftir Schrems II verða DPAs að nefna flutningaskipulagið (SCC, hæfileikaákvörðun) og ná yfir viðbótarráðstafanir.
5.Endurskil eða eyðing gagna við lok er valfrjáls — GDPR gerir það skyldu; DPA ætti að tilgreina hvort og hvenær.

Tengd hugtök

Trúnaðarsamningur (NDA)→Skaðleysi (Indemnification)→Due diligence→

Algengar spurningar

Hvenær er DPA lagalega nauðsynlegt?: Þegar ábyrgðaraðili notar vinnsluaðila til að meðhöndla persónuupplýsingar íbúa ESB eða EES. Ábyrgðaraðilar og vinnsluaðilar utan ESB eru jafn þaktir ef þeir vinna gögn ESB-íbúa. Bretland hefur eigin nær samhliða kerfi undir UK GDPR.
Hver er munurinn á DPA og þjónustusamningi?: Þjónustusamningur (eða rammasamningur) nær yfir viðskiptasambandið — umfang, verð, SLA. DPA nær sérstaklega yfir gagnavernd og getur verið sjálfstætt skjal, viðauki eða hluti af aðalsamningnum. Flestir þroskaðir SaaS-söluaðilar nota sjálfstætt DPA sem er fellt inn með tilvísun.
Þarf ég nýtt DPA fyrir hvern viðskiptavin?: Flestir söluaðilar halda einu DPA-sniðmáti sem þeir nota með öllum viðskiptavinum og semja aðeins um viðskiptavinasértæka viðbætur (t.d. sérstakan undirvinnsluaðilalista eða úttektartíðni). Staðlað DPA flýtir fyrir innkaupum; viðskiptavinasértæk DPAs hægja verulega á samningahringrásum.

DPA þitt með Attorly er tilbúið til skoðunar

Attorly afhendir 28. gr. GDPR-samhæft DPA sem nær yfir dulkóðun í kyrrstöðu og í flutningi, Bring-Your-Own-Key á Enterprise, og tilkynningu brota innan 72 klukkustunda.

Sjá DPA Attorly