Kada DPA yra teisiškai reikalinga?

Visada, kai valdytojas pasitelkia tvarkytoją ES arba EEE gyventojų asmens duomenims tvarkyti. Ne ES valdytojai ir tvarkytojai yra vienodai apimami, jei jie tvarko ES gyventojų duomenis. Jungtinė Karalystė turi beveik identišką režimą pagal UK GDPR.

Koks skirtumas tarp DPA ir paslaugų sutarties?

Paslaugų sutartis (arba pagrindinė sutartis) apima komercinį santykį — apimtį, kainą, SLA. DPA specialiai apima duomenų apsaugą ir gali būti atskiras dokumentas, priedas arba pagrindinės sutarties dalis. Dauguma brandžių SaaS paslaugų teikėjų naudoja atskirą DPA, įtrauktą nuoroda.

Ar man reikia naujos DPA kiekvienam klientui?

Dauguma paslaugų teikėjų palaiko vieną DPA šabloną, kurį naudoja su visais klientais, tardami tik klientui specifinius papildymus (pvz., konkretų subtvarkytojų sąrašą ar audito dažnumą). Standartinė DPA paspartina pirkimus; klientui pritaikytos DPA reikšmingai sulėtina sandorių ciklus.

Duomenų tvarkymo sutartis (DPA)

Data Processing Agreement · Sutartis pagal 28 straipsnį · GDPR DPA

Duomenų tvarkymo sutartis (DPA) yra sutartis tarp duomenų valdytojo ir tvarkytojo, kuri nustato, kaip asmens duomenys gali būti tvarkomi valdytojo vardu. Pagal BDAR 28 straipsnį, DPA yra privaloma visada, kai valdytojas naudoja tvarkytoją, ir turi apimti dalyką, trukmę, apimtį bei tvarkytojo pareigas.

Ką iš tiesų daro DPA

DPA išverčia abstrakčias tvarkytojo pareigas pagal BDAR į konkrečius sutartinius įsipareigojimus. Ji apibrėžia, kokie duomenys tvarkomi ir kodėl, kiek laiko, kas laikomas subtvarkytoju ir kaip jis patvirtinamas, kokios saugumo priemonės taikomos, kaip pranešama apie duomenų pažeidimus, kaip veikia audito teisės, kas vyksta santykių pabaigoje ir kaip tvarkomi tarptautiniai perdavimai. Bet kuriam SaaS paslaugų teikėjui, kuris saugo ar tvarko asmens duomenis ES orientuotų klientų vardu, atitinkamas DPA yra pardavimo sąlyga — pirkimų komandos nepasirašo be jos. Klientams DPA yra tai, kas paslaugų teikėją daro teisiškai atsakingu už saugumo įsipareigojimus, kuriuos žada rinkodaros puslapiai.

Kodėl tai svarbu

BDAR baudos skaičiuojamos kaip pasaulinės apyvartos procentas, o DPA yra pagrindinis sutartinis mechanizmas, kurį valdytojai naudoja atitikties rizikai paskirstyti. Silpna DPA palieka valdytoją pažeidžiamą, jei tvarkytojas blogai tvarko duomenis; stipri DPA priverčia konkrečius saugumo įsipareigojimus, audito teises ir greitą pranešimą. Paslaugų teikėjams DPA kokybė yra sandorio dydžio prognozė: įmonių klientai reikalauja brandžių DPA su konkrečiais subtvarkytojų sąrašais, audito teisėmis ir apibrėžtais pranešimo terminais. Bendras šablonas nebepraeina enterprise pirkimų.

Dažnos klaidos

1.Subtvarkytojų sąrašas trūksta arba pasenęs — BDAR reikalauja, kad valdytojas žinotų, kas iš tikrųjų liečia jo duomenis.
2.Pranešimo apie pažeidimą terminas yra neaiškus — "kuo greičiau" pakeičiamas konkrečiomis valandomis (24, 48, 72) brandžiose DPA.
3.Audito teisės nėra arba yra grynai hipotetinės — valdytojams paprastai reikia arba audito vietoje, arba neseniai pateikto SOC 2 / ISO 27001 ataskaitos.
4.Tarptautinio perdavimo mechanizmas nenurodytas — po Schrems II DPA turi įvardyti mechanizmą (SCC, tinkamumo sprendimas) ir apimti papildomas priemones.
5.Duomenų grąžinimas ar ištrynimas nutraukiant yra pasirinktinis — BDAR tai daro privalomu; DPA turėtų nurodyti kurį ir iki kada.

Susiję terminai

Konfidencialumo sutartis (NDA)→Atlyginimas (Indemnification)→Due Diligence→

Dažnai užduodami klausimai

Kada DPA yra teisiškai reikalinga?: Visada, kai valdytojas pasitelkia tvarkytoją ES arba EEE gyventojų asmens duomenims tvarkyti. Ne ES valdytojai ir tvarkytojai yra vienodai apimami, jei jie tvarko ES gyventojų duomenis. Jungtinė Karalystė turi beveik identišką režimą pagal UK GDPR.
Koks skirtumas tarp DPA ir paslaugų sutarties?: Paslaugų sutartis (arba pagrindinė sutartis) apima komercinį santykį — apimtį, kainą, SLA. DPA specialiai apima duomenų apsaugą ir gali būti atskiras dokumentas, priedas arba pagrindinės sutarties dalis. Dauguma brandžių SaaS paslaugų teikėjų naudoja atskirą DPA, įtrauktą nuoroda.
Ar man reikia naujos DPA kiekvienam klientui?: Dauguma paslaugų teikėjų palaiko vieną DPA šabloną, kurį naudoja su visais klientais, tardami tik klientui specifinius papildymus (pvz., konkretų subtvarkytojų sąrašą ar audito dažnumą). Standartinė DPA paspartina pirkimus; klientui pritaikytos DPA reikšmingai sulėtina sandorių ciklus.

Jūsų DPA su Attorly paruošta peržiūrai

Attorly tiekia DPA, atitinkančią BDAR 28 straipsnį, apimančią šifravimą ramybės būsenoje ir perdavimo metu, Bring-Your-Own-Key Enterprise lygiu ir pranešimą apie pažeidimą per 72 valandas.

Peržiūrėti Attorly DPA