Când este DPA cerut legal?

De fiecare dată când un operator angajează o persoană împuternicită pentru a gestiona date personale ale rezidenților UE sau SEE. Operatorii și împuterniciții din afara UE sunt la fel de acoperiți dacă prelucrează date ale rezidenților UE. Regatul Unit are propriul regim aproape identic sub UK GDPR.

Care este diferența dintre un DPA și un contract de servicii?

Un contract de servicii (sau acord-cadru) acoperă relația comercială — sfera, prețul, SLA. Un DPA acoperă specific protecția datelor și poate fi un document autonom, o anexă sau o secțiune a contractului principal. Majoritatea furnizorilor SaaS maturi folosesc un DPA autonom încorporat prin referință.

Am nevoie de un DPA nou pentru fiecare client?

Majoritatea furnizorilor mențin un singur șablon DPA pe care îl folosesc cu toți clienții, negociind doar suplimente specifice clientului (ex. o listă concretă de sub-împuterniciți sau frecvență de audit). Un DPA standard accelerează procurement-ul; DPA-urile personalizate încetinesc semnificativ ciclurile.

Acord de Prelucrare a Datelor (DPA)

Data Processing Agreement · Acord Articolul 28 GDPR · DPA GDPR

Un Acord de Prelucrare a Datelor (DPA) este un contract între un operator și o persoană împuternicită care definește cum pot fi prelucrate datele cu caracter personal în numele operatorului. Conform articolului 28 GDPR, un DPA este obligatoriu de fiecare dată când un operator folosește o persoană împuternicită și trebuie să acopere obiectul, durata, sfera și obligațiile împuternicitului.

Ce face de fapt un DPA

Un DPA traduce obligațiile abstracte ale împuternicitului din GDPR în angajamente contractuale concrete. Definește ce date sunt prelucrate și de ce, pentru cât timp, cine este considerat sub-împuternicit și cum este aprobat, ce măsuri de securitate se aplică, cum sunt raportate încălcările de date, cum funcționează drepturile de audit, ce se întâmplă la sfârșitul relației și cum sunt gestionate transferurile internaționale. Pentru orice furnizor SaaS care stochează sau prelucrează date cu caracter personal pentru clienți orientați UE, un DPA conform este o precondiție comercială — echipele de achiziție nu semnează fără. Pentru clienți, DPA este ceea ce face furnizorul legal responsabil pentru angajamentele de securitate promise de paginile de marketing.

De ce contează

Amenzile GDPR sunt calculate ca procent din cifra de afaceri globală, iar DPA-urile sunt principalul mecanism contractual pe care operatorii îl folosesc pentru a aloca riscul de conformitate. Un DPA slab lasă operatorul expus dacă împuternicitul gestionează greșit datele; unul puternic forțează angajamente concrete de securitate, drepturi de audit și notificare rapidă. Pentru furnizori, calitatea DPA prezice dimensiunea tranzacției: clienții enterprise cer DPA-uri mature cu liste specifice de sub-împuterniciți, drepturi de audit și termene definite. Un șablon generic nu mai trece procurement-ul enterprise.

Capcane comune

1.Lista sub-împuterniciților lipsește sau este depășită — GDPR cere ca operatorul să știe cine atinge efectiv datele sale.
2.Termenul de notificare a încălcării este vag — "cât mai curând posibil" este înlocuit cu ore concrete (24, 48, 72) în DPA-urile mature.
3.Drepturile de audit lipsesc sau sunt pur ipotetice — operatorii au de obicei nevoie fie de audit la fața locului, fie de un raport recent SOC 2 / ISO 27001.
4.Mecanismul de transfer internațional nu este specificat — după Schrems II, DPA-urile trebuie să numească mecanismul (CCS, decizie de adecvare) și să acopere măsuri suplimentare.
5.Returul sau ștergerea datelor la încetare este opțional — GDPR îl face obligatoriu; DPA trebuie să specifice care și până când.

Termeni înrudiți

Acord de Confidențialitate (NDA)→Despăgubire (Indemnification)→Due Diligence→

Întrebări frecvente

Când este DPA cerut legal?: De fiecare dată când un operator angajează o persoană împuternicită pentru a gestiona date personale ale rezidenților UE sau SEE. Operatorii și împuterniciții din afara UE sunt la fel de acoperiți dacă prelucrează date ale rezidenților UE. Regatul Unit are propriul regim aproape identic sub UK GDPR.
Care este diferența dintre un DPA și un contract de servicii?: Un contract de servicii (sau acord-cadru) acoperă relația comercială — sfera, prețul, SLA. Un DPA acoperă specific protecția datelor și poate fi un document autonom, o anexă sau o secțiune a contractului principal. Majoritatea furnizorilor SaaS maturi folosesc un DPA autonom încorporat prin referință.
Am nevoie de un DPA nou pentru fiecare client?: Majoritatea furnizorilor mențin un singur șablon DPA pe care îl folosesc cu toți clienții, negociind doar suplimente specifice clientului (ex. o listă concretă de sub-împuterniciți sau frecvență de audit). Un DPA standard accelerează procurement-ul; DPA-urile personalizate încetinesc semnificativ ciclurile.

DPA-ul tău cu Attorly este gata pentru revizuire

Attorly livrează un DPA conform articolului 28 GDPR care acoperă criptarea în repaus și în tranzit, Bring-Your-Own-Key la Enterprise și notificarea încălcărilor în 72 de ore.

Vezi DPA-ul Attorly