Visitor Analytics
Skip to main content

Угода про обробку даних (DPA)

TL; DR

Угода про обробку даних, або скорочено DPA, є юридично обов’язковим контрактом між компанією та стороннім обробником даних, призначеним для регулювання конфіденційності даних щодо відповідності GDPR.

Що таке Угода про обробку даних (DPA)?

Будь-яка компанія, яка має присутність в Інтернеті, покладається на треті сторони для належного функціонування. Цими третіми сторонами може бути що завгодно: від постачальника послуг електронної пошти до інструментів аналітики веб-сайтів або інструментів чату тощо; по суті, будь-який інструмент, який обробляє персональні дані користувача. Угода про обробку даних повинна бути підписана між цією компанією (Контролером) і кожною третьою стороною (Обробником), щоб переконатися, що дані зберігаються належним чином і не використовуються неналежним чином, продаються чи є вразливими до атак. Це один із основних кроків на шляху до відповідності GDPR.

Більшість цих інструментів сторонніх розробників роблять DPA доступними на своїх веб-сайтах для завантаження та підписання. Підписаний DPA зазвичай також можна запитати електронною поштою.

Якщо вам потрібно створити власну угоду про обробку даних, офіційний шаблон можна завантажити з https://gdpr.eu/data-processing-agreement/. Будь-які організації можуть використовувати цей документ, щоб відповідати GDPR і уникнути високих штрафів.

Угода про обробку даних поширюється на підприємства, які зберігають та/або обробляють дані з Європейського Союзу, і стосується таких питань щодо Обробника:

  • повинна бути забезпечена відповідна безпека інформації;
  • жодним субобробникам не дозволяється використовувати дані без згоди Контролера;
  • за необхідності має бути забезпечена співпраця з органами захисту даних;
  • про порушення даних необхідно негайно повідомляти Контролеру;
  • необхідно зберігати записи всіх дій з обробки;
  • відповідність правилам передачі даних ЄС;
  • допомога для Контролера під час управління можливими порушеннями даних.

Більш детальну інформацію щодо цього можна знайти тут: https://gdpr.eu/article-28-processor/.