Skip to main content

Соглашение об обработке данных (DPA)

TL;DR

Соглашение об обработке данных, или сокращенно DPA, - это юридически обязывающий договор между предприятием и сторонним обработчиком данных, предназначенный для регулирования конфиденциальности данных в отношении соответствия GDPR.

Что такое соглашение об обработке данных (DPA)?

Любой бизнес, имеющий представительство в Интернете, для нормального функционирования полагается на третьи стороны. Этими третьими сторонами могут быть все - от провайдера электронной почты до инструмента аналитики сайта, инструмента чата и т.д.; в принципе, любой инструмент, который обрабатывает личные данные пользователя. Соглашение об обработке данных должно быть подписано между компанией (контролером) и каждой третьей стороной (обработчиком), чтобы убедиться, что данные хранятся надлежащим образом и не используются не по назначению, не продаются и не подвержены атакам. Это один из самых основных шагов на пути к соответствию требованиям GDPR.

Большинство этих сторонних инструментов размещают на своих сайтах DPA, которые можно скачать и подписать. Например, вот DPA для Visitor Analytics: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. Подписанный DPA обычно также можно запросить по электронной почте.

Если вам необходимо создать собственное соглашение об обработке данных, официальный шаблон можно загрузить с сайта https://gdpr.eu/data-processing-agreement/. Любые организации могут использовать этот документ, чтобы соответствовать требованиям GDPR и избежать дорогостоящих штрафов.

Соглашение об обработке данных применяется к предприятиям, которые хранят и/или обрабатывают данные из Европейского союза, и затрагивает следующие вопросы в отношении обработчика:

  • должна быть обеспечена надлежащая информационная безопасность;
  • суб-обработчикам не разрешается использовать данные без согласия Контролера;
  • при необходимости должно быть обеспечено сотрудничество с органами по защите данных;
  • о нарушениях данных необходимо немедленно сообщать Контролеру;
  • необходимо вести учет всех действий по обработке данных;
  • соблюдение правил передачи данных ЕС;
  • помощь Контролеру при решении вопросов, связанных с возможными нарушениями данных.

Более подробную информацию об этом можно найти здесь: https://gdpr.eu/article-28-processor/.