მონაცემთა დამუშავების ხელშეკრულებები

მონაცემთა დამუშავების ხელშეკრულებები (DPA) აუთსორსინგისა და ქვე-დამუშავებისთვის

თანამედროვე ბიზნეს მოდელები ხშირად ეყრდნობა აუთსორსინგს — როდესაც კომპანია (მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი) გარკვეულ ფუნქციებს გადასცემს მესამე პირებს (დამუშავებაზე უფლებამოსილ პირებს). ეს შეიძლება იყოს ქოლ-ცენტრი, IT მხარდაჭერა, ღრუბლოვანი სერვისი ან სახელფასო უწყისების მართვა. ამ ურთიერთობაში კრიტიკულია იმის განსაზღვრა, თუ ვინ აგებს პასუხს მონაცემთა უსაფრთხოებაზე. მონაცემთა დამუშავების ხელშეკრულება (DPA) არის სწორედ ის ინსტრუმენტი, რომელიც ანაწილებს რისკებსა და პასუხისმგებლობებს. განსაკუთრებით რთულია სიტუაცია, როდესაც შემსრულებელი თავის მხრივ ქირაობს სხვა ქვეკონტრაქტორებს (Sub-processors). კანონმდებლობის დაუცველობა ამ ჯაჭვში ნიშნავს, რომ დამკვეთი სრულად აგებს პასუხს ქვეკონტრაქტორის შეცდომებზეც კი.

ეს სერვისი ფოკუსირებულია DPA-ს შედგენაზე სპეციფიკური, რთული სტრუქტურის მქონე ურთიერთობებისთვის. ჩვენი ექსპერტები გთავაზობენ:

• აუთსორსინგის რისკების ანალიზი: კონკრეტული სერვისის (მაგ. Cloud Hosting) სპეციფიკიდან გამომდინარე მონაცემთა უსაფრთხოების მოთხოვნების განსაზღვრა.
• ქვე-დამუშავების (Sub-processing) კონტროლი: ხელშეკრულებაში მექანიზმების ჩადება, რომელიც დამკვეთს აძლევს უფლებას, დაამტკიცოს ან უარყოს ახალი ქვეკონტრაქტორები.
• პასუხისმგებლობის ლიმიტების დადგენა: ზარალის ანაზღაურების (Indemnification) პუნქტების გაწერა, რათა შემსრულებლის მიერ მონაცემთა გაჟონვის შემთხვევაში დამკვეთმა შეძლოს ზარალის სრული კომპენსაცია.
• ტექნიკური დავალების სამართლებრივი ასახვა: DPA-ს დანართებში უსაფრთხოების კონკრეტული სტანდარტების (მაგ. ISO 27001, Encryption) ვალდებულებად გაწერა.
• საერთაშორისო გადაცემის რეგულირება: თუ აუთსორსერი საზღვარგარეთაა, DPA-ში სტანდარტული სახელშეკრულებო პირობების (SCC) ინტეგრირება.

პრაქტიკული მაგალითი: ქართული ბანკი იყენებს მარკეტინგულ სააგენტოს, რომელიც თავის მხრივ იყენებს ელ-ფოსტის დაგზავნის უცხოურ პლატფორმას. თუ ეს ჯაჭვი არ არის რეგულირებული DPA-თი, ბანკი არღვევს კანონს, რადგან მისი კლიენტების მონაცემები გადადის მესამე პირთან (პლატფორმასთან) ნებართვის გარეშე. სათანადო DPA ავალდებულებს მარკეტინგულ სააგენტოს, აიღოს პასუხისმგებლობა ქვეკონტრაქტორზე და უზრუნველყოს დაცვის იგივე დონე. მეორე მაგალითია IT აუთსორსინგი, სადაც ადმინისტრატორს აქვს წვდომა ყველა მონაცემზე. DPA უნდა კრძალავდეს მონაცემების კოპირებას ან გამოყენებას ტესტირების გარდა სხვა მიზნით.

საქართველოს კანონი "პერსონალურ მონაცემთა დაცვის შესახებ" ადგენს, რომ უფლებამოსილი პირი ვალდებულია დაიცვას მონაცემთა უსაფრთხოება, მაგრამ პასუხისმგებელი პირი (დამკვეთი) ვალდებულია დარწმუნდეს, რომ შემსრულებელი სანდოა. DPA არის ამ "დარწმუნების" დოკუმენტური მტკიცებულება. აუდიტის უფლება, რომელიც DPA-ში უნდა იყოს, აძლევს დამკვეთს საშუალებას, რეალურად შეამოწმოს შემსრულებელი.

იურისტთან თანამშრომლობა მოიცავს მოლაპარაკებებს კონტრაჰენტებთან. ხშირად, დიდი ტექნოლოგიური კომპანიები (Microsoft, Google) გვთავაზობენ სტანდარტულ DPA-ს, რომლის შეცვლა რთულია. იურისტი დაგეხმარებათ გაიგოთ, რას აწერთ ხელს და როგორ მართოთ დარჩენილი რისკები. მცირე ვენდორებთან კი იურისტი მოამზადებს მკაცრ DPA-ს თქვენი ინტერესების მაქსიმალური დაცვით.

Legal.ge არის თქვენი პარტნიორი ციფრული მიწოდების ჯაჭვის (Supply Chain) სამართლებრივ გამართვაში. ნუ ენდობით სიტყვიერ შეთანხმებებს, როცა საქმე მონაცემებს ეხება. გააფორმეთ პროფესიონალური DPA ჩვენი ექსპერტების დახმარებით.