Особенности заключения соглашения об обработке персональных данных
- Зачем заключать DPA?
- Какие предусмотрены последствия при отсутствии и (или) некорректном составлении DPA?
- В какой форме заключить DPA?
- Минимальные условия, которые должны быть закреплены в DPA
Наличие соглашения об обработке персональных данных (Data Processing Agreement или DPA) сегодня является обязательным требованием европейского законодательства, а также требованием законодательств Бразилии и Великобритании. Наиболее распространенными случаями, когда игровым компаниям необходимо заключить DPA, являются ситуации, когда они передают на аутсорс ведение процессов, в которых обрабатываются персональные данные. Например, когда они:
- привлекают сторонних разработчиков, которые имеют доступ к персональным данным пользователей игр;
- привлекают рекламные компании, которые осуществляют показ рекламы в приложении;
- привлекают компании, осуществляющие маркетинговую рассылку пользователям (о новинках в приложении, новостях игровой компании и прочем);
- поручают сторонней компании обработку от своего имени персональных данных.
Легко сделать вывод, исходя из вышесказанного, что почти каждая компания (далее — «контролер») для ведения бизнеса и оптимизации отдельных процессов так или иначе привлекает третьих лиц (далее — «процессоров»), которые для оказания соответствующих услуг обрабатывают персональные данные от имени и по поручению контролера.
Несмотря на такую распространенность практики, при разработке текста DPA у компаний нередко возникают вопросы об условиях, которые являются достаточными и соответствующими требованиям GDPR, о форме заключения такого соглашения и иные.
Текст чуть ниже может упростить подобную работу над соглашением DPA.
Зачем заключать DPA?
Помимо того, что наличие DPA является прямым требованием ряда законодательств, есть и иные причины необходимости его заключения.
Контролер при организации процесса обработки персональных данных определяет основные критерии такой обработки. Это значит, что именно контролер несет ответственность за порядок их использования, конфиденциальность, а также последствия потенциальных инцидентов, связанных с утечкой персональных данных.
Именно поэтому при привлечении к обработке персональных данных процессоров контролер должен убедиться, что они обеспечивают достаточные гарантии по осуществлению технических и организационных мер.
Соответственно, в интересах контролера заключить DPA, чтобы урегулировать вопросы порядка обработки персональных данных процессором: что может делать, какие данные процессор получает и какие обязательные меры по защите данных должен предпринять. Посредством этого контролер в первую очередь обезопасит себя, поскольку в случае, если процессором будут нарушены требования к обработке персональных данных и произойдет утечка персональных данных субъектов, ответственность перед ними будет нести в том числе и контролер.
Какие предусмотрены последствия при отсутствии и (или) некорректном составлении DPA?
Отсутствие DPA является нарушением требований GDPR, при выявлении которого надзорные органы вправе применять различные виды корректирующих мер.
Полный список корректирующих мер изложен в ст. 58 GDPR. Среди них – дача предупреждения о нарушении требований GDPR, требование о приведении операций по обработке данных в соответствие с требованиями о защите персональных данных и наложение административного штрафа, что для компаний весьма существенно, поскольку размер штрафа может быть весьма внушительным.
Согласно GDPR, за отсутствие DPA на компанию может накладываться административный штраф в размере до 10 млн евро или до 2% от общего мирового годового оборота за предыдущий финансовый год (в зависимости от того, какая сумма больше).
Несколько кейсов и цифр
- Компания Lazio Region для организации работы колл-центров привлекала к обработке подрядчиков без заключения DPA. За выявленное нарушение компания Lazio Region была оштрафована итальянским надзорным органом на 75 тысяч евро.
- Компания Dedalus Biologie SAS, поставщик программного обеспечения для медицинских аналитических лабораторий, была оштрафована на 1,5 млн евро за ряд нарушений, среди которых были (1) выход за инструкции контролера (Dedalus Biologie SAS собирала излишние персональные данные), (2) отсутствие всех необходимых технических и организационных мер защиты данных (отсутствовало шифрование персональных данных и т.д.), (3) договорная документация, действующая с ее клиентами, не содержала обязательных положений.
- Isweb S.p.A., IT-компания, поставщик системы управления информированием о нарушениях, была оштрафована на 40 тысяч евро, за то, что не урегулировала свои отношения с хостинг-провайдером, которому поручала обработку данных.
В какой форме заключить DPA?
В зависимости от того, как строятся отношения между контролером и процессором, отличаются ли параметры (цель обработки, сроки, перечень данных, иные обязательства) обработки персональных данных, может отличаться форма заключения DPA. Зачастую используются две формы заключения DPA:
- письменная – используется, когда обработка персональных данных процессором имеет какие-либо особенности.
Например, компания, осуществляющая разработку и паблишинг мобильных приложений для осуществления услуг по технической поддержке пользователей привлекает одного подрядчика, а также для показа таргетированной рекламы привлекает другого подрядчика. Порядок обработки данных такими подрядчикам разный, т.к. основные критерии обработки данных будут отличаться в зависимости от оказываемых услуг. В таком случае целесообразно заключать DPA в письменном виде с каждым конкретным процессором.
- в форме публичной оферты – используется, когда параметры обработки персональных данных одинаковые.
Например, такой вариант целесообразно использовать, когда компания предоставляет одни и те же услуги для всех контрагентов. Соответственно, порядок обработки данных не изменяется при заключении нового договора с контрагентом и подписывать с каждым контрагентом отдельный DPA является нецелесообразным. Поэтому в данном случае можно разработать и разместить на сайте компании общую форму DPA, который будет применяться ко всем контрагентам, пользующиеся их услугами.
Минимальные условия, которые должны быть закреплены в DPA
Законодательство не содержит исчерпывающий перечень условий, которые следует закрепить в DPA. В данном случае у сторон есть определенная свобода выбора условий при их согласовании. Однако GDPR все же содержит минимальный список условий и обязанностей сторон, которые необходимо закрепить в DPA (ст. 28 GDPR).
Ниже обозначили чек-лист с базовыми условиями, которые необходимо включить в текст DPA.
1. DPA должен содержать описание следующих деталей обработки:
|
2. DPA должен предусматривать следующие обязанности процессора
Инструкции контролера могут оформляться различным образом: посредством электронной почты, CRM-систем, в тексте DPA. При этом, из положений DPA должно явно следовать, что именно контролер, а не процессор, осуществляет контроль над тем, как обрабатываются персональные данные. В случае, если процессор выходит за рамки инструкций, то он будет считаться контролером в отношении такой обработки и будет нести ответственность перед субъектом как контролер. Один из самых распространенных примеров, когда процессор выходит за рамки инструкций контролера – это обработка персональных данных после истечения срока, установленного контролером. В таком случае с момента истечения срока обработки процессор должен самостоятельно определить правомерность дальнейшей обработки, определить параметры такой обработки, правовое основание и т.д.
Такое обязательство должно распространяться на работников и иных лиц процессора, которые имеют доступ к персональным данным контролера. Положение о конфиденциальности может быть обусловлено как договорными обязательствами с работниками (подрядчиками), так и в силу требования законодательства.
К таким мерам, в частности, относятся шифрование, псевдонимизация; способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки и т.д. Полный перечень таких мер закреплен в ст. 32 GDPR.
GDPR допускает привлечение процессором к обработке персональных данных иных лиц («суб-процессоры»). Например, для осуществления маркетингового продвижения (рекламные кампании и маркетинговые рассылки пользователям) приложения компания (контролер) привлекает рекламную организацию, которой передает персональные данные своих пользователей (процессор), в свою очередь рекламная организация для осуществления маркетинговой рассылки для контролера привлекает иную компанию, которая в свою очередь будет являться суб-процессором в понимании GDPR. Для привлечения суб-процессоров необходимо, чтобы в DPA были закреплены и соблюдались следующие условия:
DPA должен содержать порядок взаимодействия контролера и процессора при рассмотрении заявлений субъектов о реализации их прав в рамках GDPR. Например, в DPA может содержаться условие, в соответствии с которым процессор не может отвечать на заявления субъектов, а также может быть установлена обязанность процессора принимать соответствующие технические и организационные меры, чтобы помочь контролеру реагировать на запросы субъектов персональных данных.
GDPR накладывает на контролера ряд обязательств по обеспечению защиты персональных данных (например, уведомлять субъектов персональных данных и контролирующий орган об утечке персональных данных, проводить оценки воздействия на защиту персональных данных (DPIA) и т.д.). В DPA необходимо четко установить, как процессор должен содействовать контролёру в выполнении указанных обязательств.
DPA должен содержать условие о том, что процессор обязан удалить или вернуть все персональные данные контролеру после окончания срока обработки, а также удалить существующие копии.
Обязательным требованием к DPA является наличие следующих обязательств процессора:
|
DPA является ключевым документом при установлении рамок во взаимоотношениях между контролерами и процессорами. Именно поэтому следует уделить составлению DPA особое внимание.
Авторы: Юлия Бурмистрова, Екатерина Яколцевич
Читать оригинал на App2Top
Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения.
Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera