Угоди про обробку даних (Data Processing Agreement): настав час переглянути та оновити DPA
Угода про обробку даних (або DPA) — це контракт, який організації підписують, коли вони довіряють третім особам особисті дані, які обробляють. DPA можна укладати в різних юридичних формах, включаючи додатки до обробки даних, контракти про захист даних, угоди про обмін даними і так далі. Важливими елементами, на які ви завжди повинні звертати увагу, є:
- територіальна сфера дії угоди: угода буде укладена між двома юридичними особами, які проживають в ЄС, чи одна зі сторін зареєстрована за межами ЄС?
- предмет: чи стосується цей договір саме персональних даних?
Перегляньте угоди, які ваша компанія уклала протягом останніх чотирьох років або навіть раніше (так, публічні оферти чи документи на сайтах ваших постачальників програмного забезпечення також слід переглянути). Чи є щось, що нагадує вам про ці два критерії? Якщо так, то подивіться уважно на зміст таких договорів.
Якщо ви виявите, що вони базуються на Стандартних договірних положеннях (Standard Contractual Clauses) 2010 року та/або посилаються на Директиву 95/46/EC, то вам обов’язково потрібно якомога швидше їх оновити.
Але навіщо змінювати?
Як ви пам’ятаєте, GDPR набув чинності в травні 2018 року і викликав приплив електронних листів з оновленнями політик конфіденційності. Але політики – лише верхівка айсберга. DPA лежать набагато глибше у шарах комплаєнсу: вони є наріжним каменем міжнародної передачі даних, що дозволяє компаніям залучати найкращих спеціалістів і використовувати найкраще програмне забезпечення та інфраструктурні рішення, доступні на світовому ринку. У статті 46 GDPR ви можете побачити, що стандартні положення про захист даних (або просто SCC) є однією з найбільш гнучких передумов, на яку можуть покладатися компанії без великих бюджетів на комплаєнс, укладаючи контракт з іноземною фірмою.
Комісія розробила і прийняла перші стандартні договірні положення в 2010 році, щоб полегшити дотримання Директиви 95/46/EC (попередника GDPR). З тих пір багато чого змінилося: Директива була замінена на GDPR, з’явилися нові бізнес-моделі, а технології достатньо розвинулися, тому SCC 2010 стало менш корисним і зручним. Крім того, SCC 2010 посилалися на Директиву, і це було проблемою для юридичних відділів, що боялися їх будь-як змінювати, оскільки SCC мали бути прийняті «як є» (бо вони ж, насправді, і є стандартними). Ситуація насправді була заплутаною: хоча GDPR уже діяв, та компанії все одно посилалися на його директиву-попередницю, що робило всю головоломку комплаєнсу ще більш складною.
У 2021 році Комісія прийняла новий набір SCC. Після випуску нових SCC компанії зобов’язані:
- укласти оновлені ПКУ при підписанні нового договору після 27 вересня 2021 року;
- замінити SCC 2010, підписані до 27 вересня 2021 року, оновленими SCC, і зробити це до 27 грудня 2022 року. Додатки також необхідно замінити.
Після 27 грудня 2022 року компанії жодним чином не можуть вважатися такими, що відповідають вимогам, якщо вони покладаються на SCC 2010.
То що буде, якщо ми не будемо змінювати договір?
Наслідки можуть бути важкими.
По-перше, ваша компанія більше не буде відповідати вимогам GDPR: покладаючись на старіші SCC, ви фактично порушите статті 44 і 46, які встановлюють вимоги до законної міжнародної передачі даних (і може статися, що стаття 32 [безпека обробки] і 28 [процесори/розпорядники даних] також будуть залучені).
Крім того, наглядовий орган може накласти санкції на вашу організацію. Санкція може варіюватися від простого повідомлення про порушення та вимоги припинити порушення до вимоги припинити передачу даних (тобто фактично це вимога припинити роботу з вашим іноземним партнером) та/або навіть штрафу.
Однак не тільки контролюючий орган може щось запідозрити. Суб’єкт даних має право вимагати копію вашого DPA з SCC, і вони можуть вимагати, щоб їхні дані не оброблялися іноземними підрядниками та/або подати скаргу до наглядового органу про порушення вами згаданих статей. Це також може призвести до жахливого медіа-скандалу.
Ваші партнери також можуть вимагати копію проєкту договору та після належної перевірки відмовитися з вами працювати через недостатню ретельність дотримання або поставити вас у невигідне становище у перемовинах.
Доволі висока ціна юридичної неуважності, чи не так?
Що далі?
У вас є багато варіантів.
- Зв’яжіться з юристом із захисту даних, щоб підготувати проєкт оновленого договору, погодити та підписати. Зазвичай юридичний радник, який обробляє всі ваші юридичні запити, може не мати часу або знань про вашу діяльність з обробки, необхідних для виконання всієї роботи вчасно (знову ж таки, крайній термін для підписання угоди – 27 грудня 2022 року). Юрист із захисту даних має чистий шаблон і навички, необхідні для додавання інформації до вибіркових пунктів і додатків, оскільки вони виконують це ледве не щодня.
- Попросіть свого DPO або головного спеціаліста з конфіденційності допомогти вам або визначити пріоритетність цього завдання. Можливо, DPO або CPO занадто зайняті або були недавно найняті й ще не знають про контракти, які ви підписали на початку життєвого циклу бізнесу. Допоможіть їм виявити та оновити вразливості комплаєнсу.
- Покладайтеся на власні навички та/або легкодоступні інструменти Інтернету. Це може бути необхідним кроком у випадку обмежених ресурсів, але ви ризикуєте щось забути або зробити угоду недійсною, особливо якщо ви самі не юрист. Деякі з інструментів, які наразі пропонує ринок, чудові і дійсно вигідні, але рідко вони настільки адаптовані під конкретно ваш бізнес, як вам би хотілося.
- Попросіть свого ділового партнера або клієнта виконати всю роботу за вас. Але у такому випадку будьте готові надати їм багато вашої внутрішньої інформації про процеси обробки та деталі безпеки даних: без вашої участі вони не зможуть дізнатися, яку інформацію записати в контракт у відповідних пунктах чи додатках. Знову ж таки, пам’ятайте про їхню перевагу над процесом переговорів у цьому випадку.
Звичайно, ви завжди можете зв’язатися з нами за допомогою чи порадою (або якщо у вас виникнуть запитання щодо цієї статті). Ви можете дізнатися більше про команду юристів з питань захисту персональних даних Legal IT Group на нашому веб-сайті, і якщо ви вважаєте, що ми саме ті люди, яких ви шукали, то напишіть нам електронного листа.
11/28/2022