Skip to main content

Угода про обробку даних (DPA)

TL; DR

Угода про обробку даних або скорочено DPA — це юридично зобов’язальний договір між компанією та стороннім обробником даних, призначений для регулювання конфіденційності даних щодо відповідності GDPR.

Що таке угода про обробку даних (DPA)?

Будь-який бізнес, який має присутність в Інтернеті, покладається на третіх сторін для належного функціонування. Такими третіми сторонами можуть бути будь-які – від постачальника послуг електронної пошти до інструменту аналітики веб-сайту чи інструменту чату тощо; по суті, будь-який інструмент, який обробляє персональні дані користувача. Угода про обробку даних має бути підписана між цією компанією (Контролером) і кожною третьою стороною (Обробником), щоб переконатися, що дані зберігаються належним чином, не використовуються не зловживано, не продаються чи вразливі для атак. Це один із основних кроків на шляху до відповідності GDPR.

Більшість цих інструментів сторонніх розробників надають DPA доступним на своїх веб-сайтах для завантаження та підписання. Наприклад, ось DPA Visitor Analytics: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/. Підписаний DPA зазвичай також можна надіслати електронною поштою.

Якщо вам потрібно створити власну угоду про обробку даних, офіційний шаблон можна завантажити з https://gdpr.eu/data-processing-agreement/. Будь-які організації можуть використовувати цей документ, щоб відповідати GDPR і уникнути дорогих штрафів.

Угода про обробку даних поширюється на компанії, які зберігають та/або обробляють дані з Європейського Союзу, і вирішує такі питання щодо Обробника:

  • повинна бути забезпечена відповідна інформаційна безпека;
  • жодним субпроцессорам не дозволяється використовувати дані без згоди Контролера;
  • у разі необхідності має бути забезпечена співпраця з органами захисту даних;
  • про порушення даних необхідно негайно повідомляти Контролеру;
  • повинні зберігатися записи про всі дії з обробки;
  • дотримання правил передачі даних ЄС;
  • допомога Контролеру під час управління можливими порушеннями даних.

Більш детальну інформацію щодо цього можна знайти тут: https://gdpr.eu/article-28-processor/.