Skip to main content

הסכם עיבוד נתונים (DPA)

TL;DR

הסכם עיבוד הנתונים, או בקיצור DPA, הוא חוזה משפטי מחייב בין עסק למעבד נתונים של צד שלישי, שנועד להסדיר את פרטיות הנתונים בכל הנוגע לתאימות ל-GDPR.

מהו הסכם עיבוד הנתונים (DPA)?

כל עסק שיש לו נוכחות מקוונת מסתמך על צדדים שלישיים לתפקד כראוי. צדדים שלישיים אלה יכולים להיות כל דבר מספק דוא"ל לכלי ניתוח אתרים או כלי צ'אט וכו'; בעצם, כל כלי שמעבד את הנתונים האישיים של המשתמש. יש לחתום על הסכם עיבוד נתונים בין אותו עסק (בקר) לבין כל צד שלישי (מעבד) כדי לוודא שהנתונים מאוחסנים כראוי ואינם נמצאים בשימוש לרעה, נמכר או חשוף להתקפות. זהו אחד הצעדים הבסיסיים ביותר לקראת תאימות ל-GDPR.

רוב הכלים של צד שלישי אלה הופכים את DPAs לזמינים באתרים שלהם להורדה וחתימה. לדוגמה, הנה ה-DPA של Visitor Analytics: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. בדרך כלל ניתן לבקש את ה-DPA החתום גם באמצעות דואר אלקטרוני.

במקרה שאתה צריך ליצור הסכם עיבוד נתונים משלך, ניתן להוריד את התבנית הרשמית מ https://gdpr.eu/data-processing-agreement/. כל ארגון רשאי להשתמש במסמך זה כדי לעמוד בתקן GDPR וכדי להימנע מקנסות יקרים.

הסכם עיבוד הנתונים חל על עסקים המאחסנים ו/או מעבדים נתונים מהאיחוד האירופי ומתייחס לבעיות הבאות ביחס למעבד:

  • אבטחת מידע נאותה חייבת להיות במקום;
  • אין מעבדי משנה רשאים להשתמש בנתונים ללא הסכמת המבקר;
  • יש לספק שיתוף פעולה עם רשויות הגנת המידע בעת הצורך;
  • יש לדווח מיידית על הפרות נתונים לבקר;
  • יש לשמור רישומים של כל פעולות העיבוד;
  • ציות לכללי העברת נתונים של האיחוד האירופי;
  • סיוע עבור הבקר בעת ניהול הפרות מידע אפשריות.

מידע מפורט יותר לגבי זה ניתן למצוא כאן: https://gdpr.eu/article-28-processor/.