Kiedy DPA jest wymagana prawnie?

Zawsze gdy administrator angażuje podmiot przetwarzający do obsługi danych osobowych mieszkańców UE lub EOG. Administratorzy i podmioty przetwarzające spoza UE są równo objęci, jeśli przetwarzają dane mieszkańców UE. Wielka Brytania ma prawie identyczny reżim w ramach UK GDPR.

Jaka jest różnica między DPA a umową o usługi?

Umowa o usługi (lub umowa ramowa) obejmuje relację handlową — zakres, cenę, SLA. DPA obejmuje specjalnie ochronę danych i może być samodzielnym dokumentem, załącznikiem lub sekcją umowy głównej. Większość dojrzałych dostawców SaaS używa samodzielnej DPA włączonej przez odniesienie.

Czy potrzebuję nowej DPA dla każdego klienta?

Większość dostawców utrzymuje jeden szablon DPA, którego używa ze wszystkimi klientami, negocjując tylko specyficzne dla klienta uzupełnienia (np. konkretna lista podpodmiotów lub częstotliwość audytu). Standardowa DPA przyspiesza procurement; DPA szyte na miarę znacząco spowalniają cykle transakcji.

Umowa powierzenia przetwarzania danych (DPA)

Data Processing Agreement · Umowa art. 28 RODO · DPA RODO

Umowa powierzenia przetwarzania danych (DPA) to umowa między administratorem a podmiotem przetwarzającym, która określa, jak dane osobowe mogą być przetwarzane w imieniu administratora. Zgodnie z art. 28 RODO, DPA jest obowiązkowa zawsze, gdy administrator korzysta z podmiotu przetwarzającego i musi obejmować przedmiot, czas trwania, zakres oraz obowiązki podmiotu przetwarzającego.

Co DPA naprawdę robi

DPA przekłada abstrakcyjne obowiązki podmiotu przetwarzającego na podstawie RODO na konkretne zobowiązania umowne. Określa, jakie dane są przetwarzane i dlaczego, jak długo, kto jest podpodmiotem przetwarzającym i jak jest zatwierdzany, jakie środki bezpieczeństwa obowiązują, jak zgłaszane są naruszenia danych, jak działają prawa audytu, co dzieje się na końcu relacji i jak obsługiwane są transfery międzynarodowe. Dla każdego dostawcy SaaS, który przechowuje lub przetwarza dane osobowe w imieniu klientów z UE, zgodna DPA jest warunkiem sprzedaży — zespoły zakupów nie podpiszą bez niej. Dla klientów, DPA jest tym, co czyni dostawcę prawnie odpowiedzialnym za zobowiązania bezpieczeństwa obiecywane przez strony marketingowe.

Dlaczego to ważne

Kary RODO są obliczane jako procent globalnego obrotu, a DPA są głównym mechanizmem umownym, jakiego używają administratorzy do alokacji ryzyka zgodności. Słaba DPA pozostawia administratora narażonym, jeśli podmiot przetwarzający źle obsługuje dane; silna DPA wymusza konkretne zobowiązania bezpieczeństwa, prawa audytu i szybkie powiadomienie. Dla dostawców jakość DPA jest predyktorem rozmiaru transakcji: klienci enterprise wymagają dojrzałych DPA z konkretnymi listami podpodmiotów, prawami audytu i zdefiniowanymi terminami powiadomień. Ogólny szablon nie przechodzi już procurement enterprise.

Częste pułapki

1.Brakuje listy podpodmiotów przetwarzających lub jest nieaktualna — RODO wymaga, aby administrator wiedział, kto faktycznie dotyka jego danych.
2.Termin powiadomienia o naruszeniu jest nieprecyzyjny — "jak najszybciej" zastępowane jest konkretnymi godzinami (24, 48, 72) w dojrzałych DPA.
3.Prawa audytu są nieobecne lub czysto hipotetyczne — administratorzy zwykle potrzebują audytu na miejscu lub niedawnego raportu SOC 2 / ISO 27001.
4.Mechanizm transferu międzynarodowego nie jest określony — po Schrems II DPA muszą nazwać mechanizm (SCC, decyzja o adekwatności) i obejmować dodatkowe środki.
5.Zwrot lub usunięcie danych przy zakończeniu jest opcjonalny — RODO czyni to obowiązkowym; DPA powinno określać które i do kiedy.

Powiązane pojęcia

Umowa o Zachowaniu Poufności (NDA)→Rekompensata (Indemnification)→Due diligence→

Najczęściej zadawane pytania

Kiedy DPA jest wymagana prawnie?: Zawsze gdy administrator angażuje podmiot przetwarzający do obsługi danych osobowych mieszkańców UE lub EOG. Administratorzy i podmioty przetwarzające spoza UE są równo objęci, jeśli przetwarzają dane mieszkańców UE. Wielka Brytania ma prawie identyczny reżim w ramach UK GDPR.
Jaka jest różnica między DPA a umową o usługi?: Umowa o usługi (lub umowa ramowa) obejmuje relację handlową — zakres, cenę, SLA. DPA obejmuje specjalnie ochronę danych i może być samodzielnym dokumentem, załącznikiem lub sekcją umowy głównej. Większość dojrzałych dostawców SaaS używa samodzielnej DPA włączonej przez odniesienie.
Czy potrzebuję nowej DPA dla każdego klienta?: Większość dostawców utrzymuje jeden szablon DPA, którego używa ze wszystkimi klientami, negocjując tylko specyficzne dla klienta uzupełnienia (np. konkretna lista podpodmiotów lub częstotliwość audytu). Standardowa DPA przyspiesza procurement; DPA szyte na miarę znacząco spowalniają cykle transakcji.

Twoja DPA z Attorly jest gotowa do przeglądu

Attorly dostarcza DPA zgodną z art. 28 RODO obejmującą szyfrowanie w spoczynku i w transmisji, Bring-Your-Own-Key na Enterprise oraz powiadomienie o naruszeniu w ciągu 72 godzin.

Zobacz DPA Attorly