მონაცემთა დამუშავების ხელშეკრულებები (Data Processing Agreement - DPA)
ბიზნეს ურთიერთობებში ხშირია შემთხვევები, როდესაც ერთი კომპანია (დამკვეთი) მეორეს (შემსრულებელს) გადასცემს პერსონალურ მონაცემებს გარკვეული მომსახურების მისაღებად. მაგალითად, როდესაც ბანკი ქირაობს IT კომპანიას სერვერების მოსავლელად, ან მარკეტინგული სააგენტო ამუშავებს კლიენტის ბაზას. სამართლებრივ ენაზე ამას "დამუშავებისთვის პასუხისმგებელ პირსა" (Controller) და "დამუშავებაზე უფლებამოსილ პირს" (Processor) შორის ურთიერთობა ეწოდება. საქართველოს ახალი კანონი "პერსონალურ მონაცემთა დაცვის შესახებ" მკაცრად მოითხოვს, რომ ასეთი ურთიერთობა გაფორმდეს წერილობითი ხელშეკრულებით (DPA), რომელიც კონკრეტულ სტანდარტებს უნდა აკმაყოფილებდეს. DPA-ს არარსებობა ან მისი ხარვეზიანი შედგენა ორივე მხარეს აყენებს სოლიდური ჯარიმის რისკის ქვეშ.
მონაცემთა დამუშავების ხელშეკრულების მომზადების სერვისი უზრუნველყოფს მხარეთა უფლება-მოვალეობების ზუსტ გაწერას და კანონთან შესაბამისობას. ჩვენი სპეციალისტები გთავაზობენ:
- როლების იდენტიფიკაცია: ზუსტი განსაზღვრა, ვინ არის კონტროლერი და ვინ პროცესორი კონკრეტულ ტრანზაქციაში (ეს ყოველთვის არ არის აშკარა და შეცდომა იწვევს პასუხისმგებლობის არასწორ გადანაწილებას).
- სავალდებულო რეკვიზიტების გაწერა: ხელშეკრულებაში კანონით სავალდებულო პუნქტების ჩართვა (დამუშავების მიზანი, ვადა, მონაცემთა კატეგორიები, უსაფრთხოების ზომები).
- უსაფრთხოების გარანტიები: პროცესორის ვალდებულება, მიიღოს კონკრეტული ტექნიკური და ორგანიზაციული ზომები მონაცემთა დასაცავად.
- ქვე-დამუშავების (Sub-processing) რეგულირება: წესები იმის შესახებ, აქვს თუ არა უფლება პროცესორს დაიქირაოს სხვა ქვეკონტრაქტორები და რა პირობებით.
- აუდიტის უფლება: კონტროლერის უფლების გაწერა, შეამოწმოს პროცესორის მიერ მონაცემთა დაცვის მდგომარეობა.
- მონაცემთა წაშლა/დაბრუნება: პროცედურები, თუ რა ემართება მონაცემებს მომსახურების დასრულების შემდეგ.
პრაქტიკაში, DPA ხშირად უგულებელყოფილია და კომპანიები შემოიფარგლებიან სტანდარტული "კონფიდენციალურობის მუხლით" ძირითად ხელშეკრულებაში. ეს არის უხეში შეცდომა. ახალი კანონი (მუხლი 21) პირდაპირ ჩამოთვლის საკითხებს, რომლებიც უნდა იყოს DPA-ში. მაგალითად, თუ ხელშეკრულებაში არ წერია, რომ პროცესორმა უნდა დაეხმაროს კონტროლერს ინციდენტის შეტყობინებაში, და რეალურად მოხდა გაჟონვა პროცესორთან, კონტროლერი ვერ შეძლებს ვადების დაცვას და დაჯარიმდება. ასევე, თუ პროცესორი იყენებს "ქლაუდს" მესამე ქვეყანაში კონტროლერის ნებართვის გარეშე, ესეც კანონდარღვევაა.
სამართლებრივი რეგულირება ეფუძნება "პერსონალურ მონაცემთა დაცვის შესახებ" კანონს. კანონი ადგენს, რომ პროცესორი მოქმედებს მხოლოდ კონტროლერის დავალებით. DPA არის ის ინსტრუმენტი, რომელიც ამ "დავალებას" ლეგიტიმურ ჩარჩოებში აქცევს. განსაკუთრებული ყურადღება ეთმობა პროცესორის პასუხისმგებლობას: თუ ის სცდება დავალებას და მონაცემებს საკუთარი მიზნებისთვის იყენებს, ის ავტომატურად ხდება კონტროლერი და ეკისრება სრული პასუხისმგებლობა.
იურისტთან თანამშრომლობა მოიცავს თქვენი ბიზნეს პროცესების აუდიტს (ვის გადასცემთ მონაცემებს), შაბლონური DPA-ს მომზადებას ან არსებული კონტრაქტების რევიზიას. ეს სერვისი აუცილებელია IT კომპანიებისთვის, HR სააგენტოებისთვის, ბუღალტრული ფირმებისთვის და ყველა იმ ბიზნესისთვის, რომელიც ახდენს აუთსორსინგს.
Legal.ge გთავაზობთ წვდომას კვალიფიციურ იურისტებთან, რომლებიც დაგეხმარებიან სწორი სახელშეკრულებო ურთიერთობების ჩამოყალიბებაში. DPA არ არის უბრალო ფორმალობა; ეს არის გარანტია, რომ თქვენი პარტნიორის შეცდომა თქვენ არ დაგიჯდებათ ძვირად. მოაწესრიგეთ თქვენი კონტრაქტები დღესვე ჩვენი ექსპერტების დახმარებით.
განახლდა: ...