Skip to main content

Umowa o przetwarzanie danych (DPA)

TL; DR

Umowa przetwarzania danych, w skrócie DPA, jest prawnie wiążącą umową między firmą a zewnętrznym podmiotem przetwarzającym dane, mającą na celu uregulowanie prywatności danych w odniesieniu do zgodności z RODO.

Co to jest umowa o przetwarzanie danych (DPA)?

Każda firma, która jest obecna w Internecie, do prawidłowego funkcjonowania jest uzależniona od stron trzecich. Tymi stronami trzecimi mogą być cokolwiek, od dostawcy poczty e-mail po narzędzie do analizy witryny lub narzędzie do czatu itp.; w zasadzie każde narzędzie przetwarzające dane osobowe użytkownika. Umowa przetwarzania danych musi zostać podpisana między tą firmą (Administratorem) a każdą stroną trzecią (Przetwarzającym), upewniając się, że dane są prawidłowo przechowywane i nie są niewłaściwie wykorzystywane, sprzedawane lub podatne na ataki. Jest to jeden z najbardziej podstawowych kroków w kierunku zgodności z RODO.

Większość z tych narzędzi innych firm udostępnia na swoich stronach internetowych organy ochrony danych do pobrania i podpisania. Na przykład tutaj jest DPA ds. Analizy odwiedzających: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. O podpisanie DPA można zwykle poprosić również za pośrednictwem poczty elektronicznej.

W przypadku konieczności stworzenia własnej umowy o przetwarzanie danych, oficjalny wzór można pobrać ze strony https://gdpr.eu/data-processing-agreement/. Każda organizacja może korzystać z tego dokumentu, aby zachować zgodność z RODO i uniknąć kosztownych kar.

Umowa powierzenia przetwarzania danych ma zastosowanie do firm, które przechowują i/lub przetwarzają dane z Unii Europejskiej i dotyczy następujących kwestii dotyczących Podmiotu przetwarzającego:

  • musi istnieć odpowiednie bezpieczeństwo informacji;
  • żaden podprzetwarzający nie może wykorzystywać danych bez zgody Administratora;
  • w razie potrzeby należy zapewnić współpracę z organami ochrony danych;
  • naruszenia danych należy niezwłocznie zgłaszać Administratorowi;
  • należy prowadzić rejestry wszystkich czynności przetwarzania;
  • zgodność z unijnymi zasadami przekazywania danych;
  • pomoc Administratorowi przy zarządzaniu ewentualnymi naruszeniami danych.

Bardziej szczegółowe informacje na ten temat można znaleźć tutaj: https://gdpr.eu/article-28-processor/.