Data processing agreement: узгодження та менеджмент

Захист персональних даних сьогодні – надважлива та актуальна тема, адже багато підприємств, установ, організацій кожного дня збирає великий масив інформації про кожного з нас. На рівні Європейського Союзу на варті безпеки такої персональної інформації стоїть Загальний регламент про захист даних (General Data Protection Regulation – GDPR).

З часу введення в дію GDPR особи, які у своїй діяльності мають справу з обробкою персональних даних людей, які знаходяться на території ЄС, повинні бути GDPR compliant, тобто їх діяльність у цій сфері має відповідати вимогам Регламенту.

Коли потрібен Data processing agreement, його сторони та суть

Одним із кроків на шляху до GDPR compliance є врегулювання відносин із контрагентами. Ось тут і з’являється Data processing agreement – DPA. Але для того, щоб розібратися із цим документом, спочатку з’ясуємо, на які ролі GDPR поділяє всіх суб’єктів.

Тож у GDPR містяться такі категорії суб’єктів:

• Data subject (суб’єкт даних) – людина, якої стосуються персональні дані;
• Controller (контролер) – особа, яка визначає цілі та способи обробки даних;
• Processor (оператор) – особа, яка безпосередньо обробляє такі дані відповідно до вказівок;
• а також треті сторони.

У контексті DPA нас цікавлять контролер та оператор: саме вони є сторонами угоди. Щоб краще зрозуміти їхні ролі, розглянемо розповсюджений приклад. Є компанія, що займається роздрібною торгівлею та з метою своєї діяльності законно збирає інформацію про осіб-клієнтів. Вона – контролер. Власники компанії вирішили сповіщати споживачів про нові товари, знижки електронною поштою. Для цього їм необхідно залучити спеціаліста, якому передаються персональні дані. Він – оператор. Компанія визначає цілі, способи та обсяги обробки даних про клієнтів, а найманий спеціаліст виконує розпорядження компанії. Саме ці відносини оформлюються у вигляді DPA.

А що ж у IT? Розглянемо наступну ситуацію: компанія-аутсорсер з метою надання підтримки клієнтам отримує доступ до їх персональних даних. Якщо такий контролер залучає контрагентів (ФОПів), то з ними необхідно підписати DPA. Або ж у тому випадку, коли Ви спільно збираєте персональні дані з іншою особою в рамках певного продукту (додатку).

Отже, DPA – це угода між контролером і оператором, яка врегульовує перехід персональних даних від першого суб’єкта до другого (об’єм таких даних, цілі використання тощо) та загалом відносини між ними в процесі обміну даними.

У чому важливість Data processing agreement?

DPA є обов’язковим для контролерів, які підпадають під дію GDPR. Чому він такий важливий? Персональні дані – це особиста інформація, яка потребує належного захисту. Передача даних будь-кому пов’язана із певними ризиками, які повинні бути мінімізовані. Контролер отримує персональні дані та фактично несе за них відповідальність, тому йому важливо довіряти своїм контрагентам. GDPR наголошує на тому, що, «довіряючи оператору діяльність з обробки, контролер повинен залучати тільки операторів, які надають достатні гарантії стосовно експертних знань, надійності та ресурсів».

Крім того, штрафи за порушення вимог GDPR сягають $20 млн або 4% сукупного доходу компанії.

Відповідно, DPA дійсно worth signing.

Зміст Data processing agreement

Суть, сторони та мету підписання DPA встановили. Тепер варто поговорити про те, з чого ж складається така угода. Загалом зміст DPA є стандартним, адже має відповідати вимогам GDPR. Сам Регламент визначає такі обов’язкові умови угоди: об’єкт (тобто дані), проміжок часу, протягом якого дані обробляються, ціль обробки, категорії таких даних, а також обов’язки (Article 28). Проте сторони мають право розширювати умови цієї угоди.

Тож розглянемо їх детальніше:

1. Перелік обов’язків контролера та оператора відповідно до вимог GDPR.

Обов’язки контролера:

• Забезпечувати відповідність обробки та передачі даних чинному законодавству про захист персональних даних.
• Проінформувати оператора про його обов’язок обробляти дані лише з дозволу контролера та відповідно до законодавства.
• Забезпечувати застосування заходів безпеки, які є відповідними для захисту персональних даних від випадкового або незаконного знищення, або випадкової втрати, зміни, несанкціонованого відкриття або доступу. При цьому такі заходи повинні відповідати ризикам, які супроводжують обробку інформації.

Обов’язки оператора:

• Здійснювати обробку персональних даних лише з дозволу контролера і відповідно до його інструкцій, в також самого DPA. У разі неможливості виконати цей обов’язок, оператор повинен сповістити контролера.
• Застосовувати технічні та організаційні заходи безпеки для захисту персональних даних.
• Зобов’язаний інформувати контролера про: законні запити про надання даних від правоохоронних органів; будь-який випадковий або несанкціонований доступ; будь-який запит від суб’єкта даних.
• Оперативно та належним чином відповідати на запити контролера.
• Надавати для аудиту свої засоби обробки даних на запит контролера

2. Details of the Transfer

Ця інформація може оформлюватися у вигляді додатку, що є невід’ємною частиною угоди. Сюди включаються відомості про: перелік категорій даних, які будуть оброблятися; мета, з якою вони збираються; період, протягом якого вони будуть зберігатися; спосіб їх обробки.

3. Subprocessing

Варто вказувати про обов’язок оператора не залучати субпідрядника без відома контролера. У випадку залучення такої особи, оператор зобов’язаний отримати згоду контролера та оформити відносини з третьою стороною окремим письмовим договором.

4. Відповідальність (liability).

За загальним правилом відповідальність за збитки, завдані суб’єкту даних, несе контролер. Проте існують винятки:

• Якщо контролер фактично зник, припинив своє існування в правовому полі або став неплатоспроможним, тоді оператор стає контролером і несе відповідальність перед суб’єктом даних (винятком тут є випадок, коли у контролера є правонаступник, який прийняв усі його зобов’язання – у цій ситуації несе відповідальність правонаступник).
• У разі порушення обов’язків оператором і якщо його неможливо притягнути до відповідальності (коли і контролер, і оператор фактично зникли, припинили своє існування в правовому полі або стали неплатоспроможними), відповідальність понесе оператор в межах його власних дій щодо обробки даних за угодою (знову ж, якщо у контролера чи оператора немає правонаступника).
• У разі порушення субпідрядником (коли і контролер, і оператор фактично зникли, припинили своє існування в правовому полі або стали неплатоспроможними), він несе відповідальність у межах його власних дій щодо обробки даних за угодою – фактично стає контролером або оператором (так само, якщо у контролера чи оператора немає правонаступника).

Як можна побачити з вищезазначеного, інформація про відповідальність є додатковою мотивацією підписати DPA, щоб упевнитися в чесності оператора та інших осіб, які можуть залучатися до обробки даних.

5. Наступні розділи можуть стосуватися юрисдикції, яку обирають сторони (зазвичай застосовується право сторони-контролера), а також відносини сторін з наглядовими органами щодо проведення аудитів.
6. Last but not least – обов’язки сторін після закінчення строку дії угоди.

Після припинення надання послуг з обробки даних оператор зобов’язується повернути всі персональні дані або знищити їх (за вибором контролера). Якщо законодавство оператора забороняє повернення або знищення таких даних, то оператор гарантує забезпечення конфіденційності даних і те, що він не буде використовувати їх у подальшому.

Data processing agreement та Україна

Уся ця інформація є дуже важливою та цікавою, проте виникає запитання: чи стосуються всі вищезазначені вимоги українських реалій.

GDPR застосовується до обробки даних осіб, які перебувають на території ЄС, навіть якщо опрацювання здійснюється за межами Союзу. Тож напряму Регламент на Україну не поширюється. Проте, якщо компанія в Україні під час своєї діяльності збирає дані суб’єктів на території ЄС, вона повинна бути GDPR compliant – і, як наслідок, потребує підписання DPA з контрагентами.

DPA – це один із важливих документів на шляху до GDPR compliance, без якого неможливо обійтися, якщо Ви працюєте з партнерами. Основа Ваших відносин з клієнтами – це їх довіра до Вас. Вони довіряють свої персональні дані компанії та сподіваються на відповідальність з її боку. Тому підписуючи DPA у ролі контролера, Ви впевнюєтеся в доброчесності своїх контрагентів і забезпечуєте надійність збереження персональних даних своїх клієнтів.