Kdaj je DPA zakonsko obvezen?

Vedno, ko upravljavec uporabi obdelovalca za obdelavo osebnih podatkov prebivalcev EU ali EGP. Upravljavci in obdelovalci izven EU so enako pokriti, če obdelujejo podatke prebivalcev EU. Združeno kraljestvo ima svoj skoraj identičen režim pod UK GDPR.

Kaj je razlika med DPA in pogodbo o storitvah?

Pogodba o storitvah (ali okvirna pogodba) pokriva komercialno razmerje — obseg, ceno, SLA. DPA posebej pokriva varstvo podatkov in je lahko samostojen dokument, priloga ali del glavne pogodbe. Večina zrelih ponudnikov SaaS uporablja samostojen DPA, vključen s sklicem.

Ali potrebujem nov DPA za vsako stranko?

Večina ponudnikov vzdržuje eno predlogo DPA, ki jo uporabljajo z vsemi strankami, in se pogaja le o dopolnitvah, specifičnih za stranko (npr. konkreten seznam podobdelovalcev ali pogostost revizij). Standardni DPA pospešuje nabavo; DPA po meri bistveno upočasnjujejo cikle poslov.

Pogodba o obdelavi podatkov (DPA)

Data Processing Agreement · Pogodba po 28. členu GDPR · GDPR DPA

Pogodba o obdelavi podatkov (DPA) je pogodba med upravljavcem in obdelovalcem, ki določa, kako se lahko osebni podatki obdelujejo v imenu upravljavca. Po 28. členu GDPR je DPA obvezen vedno, ko upravljavec uporabi obdelovalca, in mora zajemati predmet, trajanje, obseg in obveznosti obdelovalca.

Kaj DPA dejansko počne

DPA prevaja abstraktne obveznosti obdelovalca po GDPR v konkretne pogodbene zaveze. Določa, kateri podatki se obdelujejo in zakaj, kako dolgo, kdo se šteje za podobdelovalca in kako je odobren, katere varnostne ukrepe se uporabijo, kako se prijavljajo kršitve podatkov, kako delujejo pravice revizije, kaj se zgodi ob koncu razmerja in kako se rešujejo mednarodni prenosi. Za vsakega ponudnika SaaS, ki hrani ali obdeluje osebne podatke v imenu strank, usmerjenih v EU, je skladen DPA pogoj prodaje — ekipe za nabavo brez njega ne podpišejo. Za stranke DPA je tisto, kar ponudnika pravno odgovornim za varnostne zaveze, ki jih obljubljajo marketinške strani.

Zakaj je pomembno

Globe GDPR se izračunajo kot odstotek globalnega prometa, DPA-ji pa so glavni pogodbeni mehanizem, ki ga upravljavci uporabljajo za razporeditev tveganja skladnosti. Šibak DPA pušča upravljavca izpostavljenega, če obdelovalec slabo ravna s podatki; močan DPA sili v konkretne varnostne zaveze, pravice revizije in hitro obveščanje. Za ponudnike je kakovost DPA napovedovalec velikosti posla: enterprise stranke zahtevajo zrele DPA-je s konkretnimi seznami podobdelovalcev, pravicami revizije in določenimi roki obveščanja. Splošna predloga ne prestane več enterprise nabave.

Pogoste pasti

1.Seznam podobdelovalcev manjka ali je zastarel — GDPR zahteva, da upravljavec ve, kdo se dejansko dotika njegovih podatkov.
2.Rok za obvestilo o kršitvi je nejasen — "čim prej" se v zrelih DPA-jih nadomesti s konkretnimi urami (24, 48, 72).
3.Pravice revizije manjkajo ali so povsem hipotetične — upravljavci običajno potrebujejo revizijo na kraju samem ali nedavno poročilo SOC 2 / ISO 27001.
4.Mehanizem mednarodnega prenosa ni določen — po Schrems II morajo DPA-ji poimenovati mehanizem (SCC, odločba o ustreznosti) in pokriti dopolnilne ukrepe.
5.Vrnitev ali izbris podatkov ob prenehanju je izbirno — GDPR to dela obvezno; DPA mora določiti katerega in do kdaj.

Sorodni pojmi

Pogodba o nerazkritju (NDA)→Odškodnina (Indemnification)→Due diligence→

Pogosta vprašanja

Kdaj je DPA zakonsko obvezen?: Vedno, ko upravljavec uporabi obdelovalca za obdelavo osebnih podatkov prebivalcev EU ali EGP. Upravljavci in obdelovalci izven EU so enako pokriti, če obdelujejo podatke prebivalcev EU. Združeno kraljestvo ima svoj skoraj identičen režim pod UK GDPR.
Kaj je razlika med DPA in pogodbo o storitvah?: Pogodba o storitvah (ali okvirna pogodba) pokriva komercialno razmerje — obseg, ceno, SLA. DPA posebej pokriva varstvo podatkov in je lahko samostojen dokument, priloga ali del glavne pogodbe. Večina zrelih ponudnikov SaaS uporablja samostojen DPA, vključen s sklicem.
Ali potrebujem nov DPA za vsako stranko?: Večina ponudnikov vzdržuje eno predlogo DPA, ki jo uporabljajo z vsemi strankami, in se pogaja le o dopolnitvah, specifičnih za stranko (npr. konkreten seznam podobdelovalcev ali pogostost revizij). Standardni DPA pospešuje nabavo; DPA po meri bistveno upočasnjujejo cikle poslov.

Vaš DPA z Attorly je pripravljen za pregled

Attorly dobavlja DPA, skladen s členom 28 GDPR, ki pokriva šifriranje v mirovanju in pri prenosu, Bring-Your-Own-Key na Enterprise in obvestilo o kršitvi v 72 urah.

Oglejte si DPA Attorly