Kedy je DPA právne vyžadovaná?

Kedykoľvek prevádzkovateľ využíva sprostredkovateľa na spracovanie osobných údajov obyvateľov EÚ alebo EHP. Prevádzkovatelia a sprostredkovatelia mimo EÚ sú rovnako pokrytí, ak spracúvajú údaje obyvateľov EÚ. Veľká Británia má takmer identický režim podľa UK GDPR.

Aký je rozdiel medzi DPA a zmluvou o službách?

Zmluva o službách (alebo rámcová zmluva) pokrýva obchodný vzťah — rozsah, cenu, SLA. DPA špecificky pokrýva ochranu údajov a môže byť samostatným dokumentom, prílohou alebo časťou hlavnej zmluvy. Väčšina zrelých poskytovateľov SaaS používa samostatnú DPA zahrnutú odkazom.

Potrebujem novú DPA pre každého zákazníka?

Väčšina poskytovateľov udržiava jednu šablónu DPA, ktorú používajú so všetkými zákazníkmi, a rokujú iba o doplnkoch špecifických pre zákazníka (napr. konkrétny zoznam ďalších sprostredkovateľov alebo frekvencia auditu). Štandardná DPA urýchľuje procurement; DPA na mieru významne spomaľujú obchodné cykly.

Zmluva o spracúvaní osobných údajov (DPA)

Data Processing Agreement · Zmluva podľa čl. 28 GDPR · GDPR DPA

Zmluva o spracúvaní osobných údajov (DPA) je zmluva medzi prevádzkovateľom a sprostredkovateľom, ktorá definuje, ako sa osobné údaje môžu spracúvať v mene prevádzkovateľa. Podľa článku 28 GDPR je DPA povinná vždy, keď prevádzkovateľ využíva sprostredkovateľa, a musí zahŕňať predmet, trvanie, rozsah a povinnosti sprostredkovateľa.

Čo DPA skutočne robí

DPA prekladá abstraktné povinnosti sprostredkovateľa podľa GDPR do konkrétnych zmluvných záväzkov. Definuje, aké údaje sa spracúvajú a prečo, ako dlho, kto sa považuje za ďalšieho sprostredkovateľa a ako je schvaľovaný, aké bezpečnostné opatrenia platia, ako sa hlásia porušenia, ako fungujú auditné práva, čo sa stane na konci vzťahu a ako sa riešia medzinárodné prenosy. Pre akéhokoľvek poskytovateľa SaaS, ktorý ukladá alebo spracúva osobné údaje pre zákazníkov zameraných na EÚ, je kompatibilná DPA obchodná podmienka — nákupné tímy bez nej nepodpíšu. Pre zákazníkov DPA robí poskytovateľa právne zodpovedným za bezpečnostné záväzky, ktoré sľubujú marketingové stránky.

Prečo na tom záleží

Pokuty GDPR sa počítajú ako percento globálneho obratu a DPA sú hlavným zmluvným mechanizmom, ktorým prevádzkovatelia alokujú riziko súladu. Slabá DPA necháva prevádzkovateľa vystaveného, ak sprostredkovateľ zle nakladá s údajmi; silná DPA vynucuje konkrétne bezpečnostné záväzky, auditné práva a rýchle oznámenie. Pre poskytovateľov kvalita DPA predpovedá veľkosť obchodu: enterprise zákazníci vyžadujú zrelé DPA s konkrétnymi zoznamami ďalších sprostredkovateľov, auditnými právami a definovanými lehotami. Všeobecná šablóna už neprejde enterprise procurement.

Časté úskalia

1.Zoznam ďalších sprostredkovateľov chýba alebo je neaktuálny — GDPR vyžaduje, aby prevádzkovateľ vedel, kto sa skutočne dotýka jeho údajov.
2.Lehota na oznámenie porušenia je vágna — "čo najskôr" je v zrelých DPA nahradená konkrétnymi hodinami (24, 48, 72).
3.Auditné práva chýbajú alebo sú čisto hypotetické — prevádzkovatelia zvyčajne potrebujú audit na mieste alebo nedávnu správu SOC 2 / ISO 27001.
4.Mechanizmus medzinárodného prenosu nie je špecifikovaný — po Schrems II musia DPA pomenovať mechanizmus (SCC, rozhodnutie o primeranosti) a pokryť dodatočné opatrenia.
5.Vrátenie alebo vymazanie údajov pri ukončení je voliteľné — GDPR to robí povinným; DPA by mala špecifikovať ktoré a dokedy.

Súvisiace pojmy

Dohoda o mlčanlivosti (NDA)→Odškodnenie (Indemnification)→Due diligence→

Často kladené otázky

Kedy je DPA právne vyžadovaná?: Kedykoľvek prevádzkovateľ využíva sprostredkovateľa na spracovanie osobných údajov obyvateľov EÚ alebo EHP. Prevádzkovatelia a sprostredkovatelia mimo EÚ sú rovnako pokrytí, ak spracúvajú údaje obyvateľov EÚ. Veľká Británia má takmer identický režim podľa UK GDPR.
Aký je rozdiel medzi DPA a zmluvou o službách?: Zmluva o službách (alebo rámcová zmluva) pokrýva obchodný vzťah — rozsah, cenu, SLA. DPA špecificky pokrýva ochranu údajov a môže byť samostatným dokumentom, prílohou alebo časťou hlavnej zmluvy. Väčšina zrelých poskytovateľov SaaS používa samostatnú DPA zahrnutú odkazom.
Potrebujem novú DPA pre každého zákazníka?: Väčšina poskytovateľov udržiava jednu šablónu DPA, ktorú používajú so všetkými zákazníkmi, a rokujú iba o doplnkoch špecifických pre zákazníka (napr. konkrétny zoznam ďalších sprostredkovateľov alebo frekvencia auditu). Štandardná DPA urýchľuje procurement; DPA na mieru významne spomaľujú obchodné cykly.

Vaša DPA s Attorly je pripravená na revíziu

Attorly dodáva DPA v súlade s čl. 28 GDPR pokrývajúcu šifrovanie v pokoji a pri prenose, Bring-Your-Own-Key na Enterprise a oznámenie porušenia do 72 hodín.

Zobraziť DPA Attorly