Що таке DPA-угода у SaaS?

Угода про обробку даних SaaS (DPA) є юридично зобов'язуючим договором між постачальником програмного забезпечення та замовником, який регулює обробку персональних даних. Вона слугує обов'язковим документом відповідності для законів про конфіденційність, таких як GDPR, вказуючи, що обробка даних відповідає протоколам безпеки, етичним стандартам та вимогам замовника.

Для дотримання принципу “Приватність за задумом” підприємствам потрібен DPA як правова основа для розгляду питань аутсорсингу даних. Наявність або відсутність підписаної угоди щодо практик обміну даними компанії зі стороннім хмарним провайдером може бути пов'язана з юридичними запитами, регуляторними перевірками або випадками розкриття даних.

Впровадження DPA може мати зв'язок з кількома наслідками:

•   Законна відповідність через цей договір є головним фактором для статті 28 GDPR та інших міжнародних регуляцій.
•   Зниження ризиків та визначена відповідальність за витоки даних встановлюються.
•   Посилення безпеки є результатом вимоги до постачальника впроваджувати технічні заходи, такі як шифрування та багатофакторна автентифікація, що перевищують регуляторні вимоги.
•   Прозорість у заходах захисту може вплинути на довіру клієнтів.

Це юридична вимога – скласти DPA, коли Контролер даних (сторона, яка спочатку збирає дані) вирішує укласти договір з Обробником даних (тобто, постачальником SaaS) для управління персональними даними. Наприклад, якщо ваш цифровий інструмент обробляє електронну пошту, IP-адреси, імена або медичні записи користувачів, які проживають у захищених юрисдикціях, угода про обробку даних становить ключову правову основу для ваших договірних відносин.

Вам не потрібен DPA, коли:

•   Ви обробляєте повністю анонімізовані дані, які не можуть бути пов'язані з жодною особою.
•   Це виключно бізнес-дані без жодного елемента персональних даних.
•   Обидва суб'єкти виступають як незалежні контролери, а не в рамках “контролер-обробник”.

DPA є описом договірного балансу сил між двома окремими сторонами, що має на меті чітке визначення відповідальності.

•   Контролер даних (Клієнт): Виступає власником даних. Він ініціює процес та відіграє ключову роль у “ланцюжку відповідальності” за отримання згоди користувачів.
•   Обробник даних (Постачальник SaaS): Має обмежені права на дані виключно від імені контролера. Його обов'язки включають впровадження відповідних заходів безпеки, своєчасне повідомлення про порушення, а також підтримку у реалізації “права користувачів на забуття.”

Відповідно до сучасних положень про конфіденційність, щоб Угода про обробку даних (DPA) вважалася юридично дійсною, вона повинна містити визначений набір положень. Ці положення представляють собою “правила взаємодії” протягом усього періоду підписки на програмне забезпечення.

Так, DPA є прямою вимогою для SaaS, оскільки хмарна модель по суті передбачає “обробку” постачальником даних, які завантажує клієнт. Поширена хибна думка полягає в тому, що DPA – це те ж саме, що й керування файлами cookie, але вони стосуються різних питань.

У той час як банер згоди на файли cookie призначений для отримання дозволу відвідувача вебсайту на його відстеження, DPA працює після того, як цей дозвіл надано; він керує безпекою даних зібраних за допомогою файлів cookie, щойно дані зберігаються на серверах постачальника SaaS.