Skip to main content

Umowa o przetwarzanie danych (DPA)

TL;DR

Umowa o przetwarzaniu danych, w skrócie DPA, to prawnie wiążąca umowa między firmą a zewnętrznym podmiotem przetwarzającym dane, mająca na celu uregulowanie prywatności danych w odniesieniu do zgodności z RODO.

Co to jest umowa o przetwarzaniu danych (DPA)?

Każda firma, która jest obecna w Internecie, wymaga prawidłowego funkcjonowania stron trzecich. Tymi stronami trzecimi może być wszystko, od dostawcy poczty e-mail po narzędzie do analizy witryn internetowych lub narzędzie do czatu itp.; w zasadzie każde narzędzie przetwarzające dane osobowe użytkownika. Umowa o przetwarzaniu danych musi zostać podpisana między tą firmą (administratorem) a każdą stroną trzecią (podmiotem przetwarzającym), aby upewnić się, że dane są właściwie przechowywane i nie są niewłaściwie wykorzystywane, sprzedawane ani podatne na ataki. Jest to jeden z najbardziej podstawowych kroków w kierunku zgodności z RODO.

Większość tych narzędzi stron trzecich udostępnia umowy ochrony danych na swoich stronach internetowych do pobrania i podpisania. O podpisany DPA można zwykle poprosić również pocztą elektroniczną.

W przypadku konieczności stworzenia własnej umowy o przetwarzaniu danych, oficjalny wzór można pobrać ze strony https://gdpr.eu/data-processing-agreement/. Każda organizacja może korzystać z tego dokumentu, aby zachować zgodność z RODO i uniknąć kosztownych kar.

Umowa powierzenia przetwarzania danych ma zastosowanie do firm, które przechowują i/lub przetwarzają dane z Unii Europejskiej i dotyczy następujących kwestii dotyczących Przetwarzającego:

  • muszą istnieć odpowiednie zabezpieczenia informacji;
  • żaden podprzetwarzający nie może wykorzystywać danych bez zgody Administratora;
  • w razie potrzeby należy zapewnić współpracę z organami ochrony danych;
  • naruszenia ochrony danych należy niezwłocznie zgłosić Administratorowi;
  • należy przechowywać rejestry wszystkich czynności przetwarzania;
  • przestrzeganie unijnych zasad przekazywania danych;
  • pomoc Administratorowi przy zarządzaniu ewentualnymi naruszeniami danych.

Bardziej szczegółowe informacje na ten temat można znaleźć tutaj: https://gdpr.eu/article-28-processor/.