Kad DPA ir juridiski nepieciešams?

Vienmēr, kad pārzinis izmanto apstrādātāju ES vai EEZ iedzīvotāju personas datu apstrādei. Pārziņi un apstrādātāji ārpus ES ir vienādi pakļauti, ja viņi apstrādā ES iedzīvotāju datus. Apvienotajai Karalistei ir gandrīz identisks režīms saskaņā ar UK GDPR.

Kāda ir atšķirība starp DPA un pakalpojumu līgumu?

Pakalpojumu līgums (vai pamatlīgums) aptver komerciālās attiecības — apjomu, cenu, SLA. DPA konkrēti aptver datu aizsardzību un var būt atsevišķs dokuments, pielikums vai galvenā līguma sadaļa. Lielākā daļa nobriedušu SaaS pakalpojumu sniedzēju izmanto atsevišķu DPA, kas iekļauts ar atsauci.

Vai man ir nepieciešams jauns DPA katram klientam?

Lielākā daļa pakalpojumu sniedzēju uztur vienu DPA veidni, ko izmanto ar visiem klientiem, risinot sarunas tikai par klientam specifiskiem papildinājumiem (piemēram, konkrētu apakšapstrādātāju sarakstu vai revīzijas biežumu). Standarta DPA paātrina iepirkumu; pielāgoti DPA ievērojami palēnina darījumu ciklus.

Datu apstrādes līgums (DPA)

Data Processing Agreement · 28. panta līgums · GDPR DPA

Datu apstrādes līgums (DPA) ir līgums starp datu pārzini un datu apstrādātāju, kas nosaka, kā personas datus var apstrādāt pārziņa vārdā. Saskaņā ar GDPR 28. pantu DPA ir obligāts vienmēr, kad pārzinis izmanto apstrādātāju, un tam jāaptver priekšmets, ilgums, apjoms un apstrādātāja pienākumi.

Ko DPA patiešām dara

DPA pārvērš GDPR abstraktos apstrādātāja pienākumus konkrētās līgumsaistībās. Tas nosaka, kādi dati tiek apstrādāti un kāpēc, cik ilgi, kas tiek uzskatīts par apakšapstrādātāju un kā tas tiek apstiprināts, kādi drošības pasākumi attiecas, kā tiek ziņots par datu pārkāpumiem, kā darbojas revīzijas tiesības, kas notiek attiecību beigās un kā tiek risināti starptautiskie pārvedumi. Jebkuram SaaS pakalpojumu sniedzējam, kas uzglabā vai apstrādā personas datus ES orientētu klientu vārdā, atbilstošs DPA ir pārdošanas priekšnoteikums — iepirkuma komandas nedz paraksta bez tā. Klientiem DPA ir tas, kas pakalpojumu sniedzēju padara juridiski atbildīgu par drošības saistībām, ko sola mārketinga lapas.

Kāpēc tas ir svarīgi

GDPR sodi tiek aprēķināti kā procents no globālā apgrozījuma, un DPA ir galvenais līguma mehānisms, ko pārziņi izmanto atbilstības riska sadalei. Vājš DPA atstāj pārzini pakļautu, ja apstrādātājs slikti apstrādā datus; spēcīgs DPA uzspiež konkrētas drošības saistības, revīzijas tiesības un ātru paziņošanu. Pakalpojumu sniedzējiem DPA kvalitāte ir darījuma izmēra prognozētājs: uzņēmumu klienti pieprasa nobriedušus DPA ar konkrētiem apakšapstrādātāju sarakstiem, revīzijas tiesībām un noteiktiem paziņošanas termiņiem. Vispārēja veidne vairs neiziet enterprise iepirkumu.

Biežās kļūdas

1.Apakšapstrādātāju saraksts trūkst vai ir novecojis — GDPR prasa, lai pārzinis zinātu, kas patiešām pieskaras viņa datiem.
2.Pārkāpuma paziņošanas termiņš ir neskaidrs — "pēc iespējas ātrāk" tiek aizstāts ar konkrētām stundām (24, 48, 72) nobriedušos DPA.
3.Revīzijas tiesības trūkst vai ir tīri hipotētiskas — pārziņiem parasti nepieciešama vai nu revīzija uz vietas, vai nesen veikts SOC 2 / ISO 27001 ziņojums.
4.Starptautiskās pārvešanas mehānisms nav precizēts — pēc Schrems II DPA jāsauc mehānisms (SCC, atbilstības lēmums) un jāaptver papildu pasākumi.
5.Datu atdošana vai dzēšana beigās ir izvēles — GDPR padara to obligātu; DPA jānosaka kura un līdz kad.

Saistītie termini

Konfidencialitātes līgums (NDA)→Atlīdzība (Indemnification)→Due Diligence→

Bieži uzdotie jautājumi

Kad DPA ir juridiski nepieciešams?: Vienmēr, kad pārzinis izmanto apstrādātāju ES vai EEZ iedzīvotāju personas datu apstrādei. Pārziņi un apstrādātāji ārpus ES ir vienādi pakļauti, ja viņi apstrādā ES iedzīvotāju datus. Apvienotajai Karalistei ir gandrīz identisks režīms saskaņā ar UK GDPR.
Kāda ir atšķirība starp DPA un pakalpojumu līgumu?: Pakalpojumu līgums (vai pamatlīgums) aptver komerciālās attiecības — apjomu, cenu, SLA. DPA konkrēti aptver datu aizsardzību un var būt atsevišķs dokuments, pielikums vai galvenā līguma sadaļa. Lielākā daļa nobriedušu SaaS pakalpojumu sniedzēju izmanto atsevišķu DPA, kas iekļauts ar atsauci.
Vai man ir nepieciešams jauns DPA katram klientam?: Lielākā daļa pakalpojumu sniedzēju uztur vienu DPA veidni, ko izmanto ar visiem klientiem, risinot sarunas tikai par klientam specifiskiem papildinājumiem (piemēram, konkrētu apakšapstrādātāju sarakstu vai revīzijas biežumu). Standarta DPA paātrina iepirkumu; pielāgoti DPA ievērojami palēnina darījumu ciklus.

Jūsu DPA ar Attorly ir gatavs pārskatīšanai

Attorly piegādā DPA saskaņā ar GDPR 28. pantu, kas aptver šifrēšanu miera stāvoklī un pārsūtīšanas laikā, Bring-Your-Own-Key Enterprise līmenī un pārkāpuma paziņošanu 72 stundu laikā.

Skatīt Attorly DPA