LegalGELegalGE
...

Договоры об обработке данных

Обязательно ли заключать отдельный договор DPA?

Нет, условия DPA могут быть частью основного договора, но они должны содержать все требуемые законом пункты. Отдельный документ часто удобнее.

Кто несет ответственность за безопасность данных?

Основная ответственность лежит на Контролере, но через DPA ответственность распределяется, и Обработчик обязан возместить ущерб, если нарушил инструкции.

Может ли Обработчик передать данные другой компании?

Только с предварительного письменного согласия Контролера. Это должно быть прописано в DPA.

Что происходит после окончания договора?

Обработчик обязан вернуть все данные Контролеру или удалить их в соответствии с соглашением.

Время чтения

2 мин

Опубликовано

...

Договоры об обработке данных (DPA) и комплаенс

В деловых отношениях часто случается, что одна компания (Заказчик) передает персональные данные другой (Исполнителю) для получения определенных услуг. Например, когда банк нанимает IT-компанию для обслуживания серверов или маркетинговое агентство обрабатывает базу клиентов. На юридическом языке это отношения между "Контролером данных" и "Обработчиком данных" (процессором). Новый закон Грузии "О защите персональных данных" строго требует, чтобы такие отношения оформлялись письменным договором (DPA), соответствующим конкретным стандартам. Отсутствие DPA или его некачественное составление ставит обе стороны под угрозу солидных штрафов.

Услуга подготовки Договора об обработке данных обеспечивает точное описание прав и обязанностей сторон и соответствие закону. Наши специалисты предлагают:

  • Идентификация ролей: Точное определение того, кто является Контролером, а кто — Обработчиком в конкретной транзакции (это не всегда очевидно, и ошибки ведут к неверному распределению ответственности).
  • Обязательные реквизиты: Включение в договор обязательных по закону пунктов (цель обработки, срок, категории данных, меры безопасности).
  • Гарантии безопасности: Обязательство Обработчика принять конкретные технические и организационные меры для защиты данных.
  • Регулирование субобработки: Правила о том, имеет ли право Обработчик нанимать других субподрядчиков и на каких условиях.
  • Право аудита: Описание права Контролера проверять состояние защиты данных у Обработчика.
  • Удаление/возврат данных: Процедуры того, что происходит с данными после завершения обслуживания.

На практике DPA часто игнорируется, и компании ограничиваются стандартным "пунктом о конфиденциальности" в основном договоре. Это грубая ошибка. Новый закон (статья 21) прямо перечисляет вопросы, которые должны быть в DPA. Например, если в договоре не написано, что Обработчик должен помочь Контролеру в уведомлении об инциденте, и утечка реально произойдет у Обработчика, Контролер не сможет соблюсти сроки и будет оштрафован. Также, если Обработчик использует облако в третьей стране без разрешения Контролера, это тоже нарушение.

Правовое регулирование основано на Законе "О защите персональных данных". Закон устанавливает, что Обработчик действует только по поручению Контролера. DPA — это инструмент, который вводит это "поручение" в легитимные рамки. Особое внимание уделяется ответственности Обработчика: если он выходит за рамки поручения и использует данные в своих целях, он автоматически становится Контролером и несет полную ответственность.

Сотрудничество с юристом включает аудит ваших бизнес-процессов (кому вы передаете данные), подготовку шаблонного DPA или ревизию существующих контрактов. Эта услуга необходима IT-компаниям, HR-агентствам, бухгалтерским фирмам и любому бизнесу, использующему аутсорсинг.

Legal.ge предоставляет доступ к квалифицированным юристам, которые помогут вам наладить правильные договорные отношения. DPA — это не простая формальность; это гарантия того, что ошибка вашего партнера не обойдется вам дорого. Приведите в порядок ваши контракты уже сегодня с помощью наших экспертов.

Обновлено: ...

Специалисты этой услуги

Загрузка...