ІСТИНА І ТРАДИЦІЇ

Кому и когда нужно подписывать Data Protection Agreement?

Великая Эпоха

безопасность
безопасность

Каждый раз, когда вы собираете персональные данные, и передаете доступ к ним посторонним подрядчикам, нужно запрашивать дополнительные гарантии безопасности. Такой гарантией будет Data Protection Agreement — договор с правилами обработки и хранения данных. Документ фиксирует обязательство сторон выполнять требования GDPR и описывает стратегию предотвращения и устранения утечки данных.

IT-юристы Stalirov&Co объяснили, когда компаниям подписывать DPA и какие положения должны быть в документе, чтобы избежать штрафов.

Кому нужен DPA?

Компании, которые собирают персональные данные граждан ЕС, должны подписывать DPA с третьими лицами, которые получают доступ к таким данным для выполнения определенных задач. Такии компании получают статус контролеров, а третьи лица статус процесоров (операторов). 

Приведем пример. Кредитная организация передает коллекторской службе персональные данные должников. Между сторонами должен быть договор, чтобы гарантировать, что коллекторы будут обрабатывать данные в соответствии с GDPR.

Безопасность данных
Безопасность данных

Еще один пример. Банк предоставляет доступ к зашифрованным данным своих клиентов IT-компании, которая разрабатывает мобильное приложение для онлайн-банкинга. В таком случае заказчик обязан гарантировать своим клиентам безопасность их данных и должен подписать DPA с исполнителем.

Если IT-компания передает часть работы субподрядчикам, то они получают статус субпроцесора. Между IT-компанией и субподрядчиками тоже должен быть DPA, который гарантирует не меньший уровень защиты, чем по договору между банком и IT-компанией. Это условие распространяется даже на ситуации, когда IT-компании привлекает в команду проекта специалистов ФОП.

Какие пункты добавить в DPA?

GDPR
GDPR

Статья 28(3) GDPR описывает правила, которые обязательно нужно детализировать в вашем DPA. Вот список этих правил:

  • Процесор может обрабатывать данные только по письменным инструкциям контролера
  • Субпроцесора можно привлечь к работе только после согласования с контролером
  • Процесор и субпроцесор несут ответственность за нарушение инструкций
  • Все, кто получают доступ к данных, должны внедрить меры безопасности по статье 32 GDPR
  • Процесор обязан сотрудничать с контролером, чтобы выполнить требования GDPR, например, своевременно отвечать на запросы субъектов данных
  • Процесор обязан удалять данные по требованию контролера
  • Процесор обязан предоставлять контролеру информацию, чтобы подтвердить выполнение требований GDPR и DPA.

Кроме правил, перечисленных выше, DPA должен включать положения о категориях персональнных данные, которые обработываются; целях обработки; технических и организационных мерах безопасности. Если данные выводятся за пределы Европейской экономической зоны, в страны, где нет достаточного уровня безопасности, в DPA добавляют Standard Contractual Clauses. 

безопасность данных
безопасность данных

Что будет, если не подписать договор, или составить его неправильно?

Компания, которая не подписала DPA рискует заплатить штраф. Например, агентство по взысканию долгов B2 Kapital doo заплатило штраф в размере 2 265 000 евро. Контролер данных не заключил договор, поэтому обеспечение безопасности персональных данных 83 896 человек оказались под угрозой. 

В другом кейсе штраф в 40 000 евро пришлось заплатить процесору ISWEB, который разработал мобильное приложение для итальянской больницы. ISWEB заключила контракт с хост-провайдером Seeweb, но не получил предварительного письменного разрешения от контролера на привлечение субпроцесора и не подписал с ним DPA.

SLIMPAY, SaaS платежной системе, пришлось заплатить штраф в 180 000 евро. Одним из нарушений GDPR стало то, что некоторые контракты с субподрядчиками не содержали всех пунктов, которые гарантируют их обязательство обрабатывать персональные данные в соответствии с GDPR.

Отсутствие DPA и его неправильное составление приводит к штрафам. Это значит, что подписание договора должно стать важной практикой для любой организации, обрабатывающей персональные данные, чтобы обеспечить законность, прозрачность и безопасность процессов сбора, обработки и хранения личной информации клиентов и пользователей программных продуктов.

Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co

*Комментарий: редакция не несёт ответственности за содержание и мнения, изложенные в статьях со знаком Ⓟ.