Соглашение об обработке данных (DPA)
Что такое Соглашение об обработке данных (DPA)?
Соглашение об обработке данных (DPA)Обязательный договор, требуемый статьёй 28 GDPR между контролёром и обработчиком, когда персональные данные обрабатываются от имени контролёра.
Соглашение об обработке данных (DPA) — это письменный договор, требуемый статьёй 28 Общего регламента ЕС о защите данных (Регламент 2016/679), всякий раз когда контролёр привлекает обработчика для обработки персональных данных от его имени. В договоре должны быть указаны предмет, срок, характер и цель обработки, категории данных и субъектов и инструкции контролёра. DPA обязывает обработчика действовать только по документированным инструкциям, обеспечивать конфиденциальность, внедрять надлежащие меры безопасности (ст. 32), содействовать в реализации прав субъектов и уведомлении об инцидентах, допускать аудиты, регулировать привлечение субобработчиков и предусматривать возврат или удаление данных по окончании услуг. Аналогичные обязанности существуют в UK GDPR и многих других законах (LGPD, CPRA, PIPEDA).
● Примеры
- 01
Контролёр подписывает DPA с облачным провайдером перед размещением клиентских данных на его инфраструктуре.
- 02
SaaS-поставщик публикует стандартный шаблон DPA со ссылкой на стандартные договорные условия ЕС 2021 года для международных передач.
● Частые вопросы
Что такое Соглашение об обработке данных (DPA)?
Обязательный договор, требуемый статьёй 28 GDPR между контролёром и обработчиком, когда персональные данные обрабатываются от имени контролёра. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Соглашение об обработке данных (DPA)?
Обязательный договор, требуемый статьёй 28 GDPR между контролёром и обработчиком, когда персональные данные обрабатываются от имени контролёра.
Как работает Соглашение об обработке данных (DPA)?
Соглашение об обработке данных (DPA) — это письменный договор, требуемый статьёй 28 Общего регламента ЕС о защите данных (Регламент 2016/679), всякий раз когда контролёр привлекает обработчика для обработки персональных данных от его имени. В договоре должны быть указаны предмет, срок, характер и цель обработки, категории данных и субъектов и инструкции контролёра. DPA обязывает обработчика действовать только по документированным инструкциям, обеспечивать конфиденциальность, внедрять надлежащие меры безопасности (ст. 32), содействовать в реализации прав субъектов и уведомлении об инцидентах, допускать аудиты, регулировать привлечение субобработчиков и предусматривать возврат или удаление данных по окончании услуг. Аналогичные обязанности существуют в UK GDPR и многих других законах (LGPD, CPRA, PIPEDA).
Как защититься от Соглашение об обработке данных (DPA)?
Защита от Соглашение об обработке данных (DPA) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Соглашение об обработке данных (DPA)?
Распространённые альтернативные названия: Дополнение об обработке данных, Договор по статье 28, Соглашение о процессинге.
● Связанные термины
- compliance№ 440
GDPR
Общий регламент по защите данных Европейского союза, регулирующий обработку персональных данных лиц, находящихся в ЕС и ЕЭЗ.
- compliance№ 974
SCC
Стандартные договорные условия — типовые контракты Еврокомиссии, обеспечивающие соответствующие GDPR гарантии для передач персональных данных за пределы ЕЭП.
- compliance№ 357
DPF
Рамочное соглашение ЕС-США о конфиденциальности данных — механизм адекватности от июля 2023 года, заменяющий Privacy Shield для трансатлантических передач персональных данных.
- privacy№ 856
Приватность по умолчанию (Privacy by Design)
Инженерно-управленческий подход, при котором требования приватности встраиваются в системы, процессы и настройки по умолчанию с самых ранних этапов проектирования.
● См. также
- № 228CPRA