読み込み中 …
Data Processing Agreement · 第28条契約 · GDPR DPA
データ処理契約(DPA)は、管理者と処理者間の契約で、管理者に代わって個人データをどのように処理できるかを定めます。GDPR第28条により、管理者が処理者を利用する場合DPAは必須であり、対象、期間、範囲、処理者の義務を網羅する必要があります。
DPAは、GDPRの抽象的な処理者義務を具体的な契約コミットメントに変換します。どのデータが処理されるか、なぜ、いつまで、誰がサブ処理者と見なされ、どのように承認されるか、どのセキュリティ措置が適用されるか、データ侵害がどのように報告されるか、監査権がどのように機能するか、関係終了時に何が起こるか、国際転送がどのように扱われるかを定義します。EU向けの顧客に代わって個人データを保存または処理するSaaSベンダーにとって、準拠DPAは販売の前提条件です——調達チームはDPAなしでは契約しません。顧客にとって、DPAはマーケティングページが約束するセキュリティコミットメントについて、ベンダーを法的に責任を持たせるものです。
GDPR罰金は世界売上のパーセンテージとして計算され、DPAは管理者がコンプライアンスリスクを配分するために使用する主要な契約メカニズムです。弱いDPAは処理者がデータを誤って扱った場合に管理者を露呈したままにします。強いDPAは具体的なセキュリティコミットメント、監査権、迅速な通知を強制します。ベンダーにとってDPAの品質は取引規模の予測因子です:エンタープライズ顧客は、特定のサブ処理者リスト、監査権、定義された通知期限を備えた成熟したDPAを要求します。一般的なテンプレートはもはやエンタープライズ調達を通過しません。
AttorlyはGDPR第28条準拠のDPAを提供し、保存時および転送時の暗号化、EnterpriseでのBring-Your-Own-Key、72時間以内の侵害通知を網羅しています。
AttorlyのDPAを見る