LegalGELegalGE
...

Договоры об обработке данных

Кто такой Субпроцессор и почему это важно?

Субпроцессор — это другая компания, нанятая вашим исполнителем (например, провайдер сервера). Это важно, так как ваши данные попадают к нему, и нужен контроль.

Могу ли я запретить вендору нанимать субподрядчиков?

Да, вы можете прописать в DPA, что наем субподрядчиков допускается только с вашего письменного согласия.

Несет ли IT-аутсорсер ответственность за потерю данных?

Если данные утеряны по вине аутсорсера (например, забыл сделать бэкап), он обязан возместить ущерб, если это правильно прописано в DPA.

Нужен ли DPA с фрилансером?

Да, если фрилансер имеет доступ к персональным данным (например, бухгалтер, HR-консультант), заключение DPA с ним обязательно.

Время чтения

2 мин

Опубликовано

...

Договоры об обработке данных (DPA) для аутсорсинга и субобработки

Современные бизнес-модели часто опираются на аутсорсинг — когда компания (Контролер данных) передает определенные функции третьим лицам (Обработчикам данных). Это может быть колл-центр, IT-поддержка, облачный сервис или управление зарплатой. В этих отношениях критически важно определить, кто отвечает за безопасность данных. Договор об обработке данных (DPA) — это именно тот инструмент, который распределяет риски и ответственность. Ситуация особенно усложняется, когда исполнитель, в свою очередь, нанимает других субподрядчиков (Субпроцессоров). Несоблюдение законодательства в этой цепочке означает, что заказчик несет полную ответственность даже за ошибки субподрядчика.

Эта услуга фокусируется на составлении DPA для специфических, сложных отношений. Наши эксперты предлагают:

  • Анализ рисков аутсорсинга: Определение требований к безопасности данных исходя из специфики сервиса (например, Cloud Hosting).
  • Контроль субобработки: Внедрение в договор механизмов, дающих заказчику право утверждать или отклонять новых субподрядчиков.
  • Установление лимитов ответственности: Прописание пунктов о возмещении убытков (Indemnification), чтобы в случае утечки данных по вине исполнителя заказчик мог получить полную компенсацию.
  • Юридическое отражение техзадания: Обязательное закрепление конкретных стандартов безопасности (например, ISO 27001, шифрование) в приложениях к DPA.
  • Регулирование международной передачи: Интеграция Стандартных договорных условий (SCC) в DPA, если аутсорсер находится за границей.

Практический пример: Грузинский банк использует маркетинговое агентство, которое, в свою очередь, использует иностранную платформу для рассылки email. Если эта цепочка не регулируется DPA, банк нарушает закон, так как данные его клиентов передаются третьему лицу (платформе) без разрешения. Надлежащий DPA обязывает маркетинговое агентство взять ответственность за субподрядчика и обеспечить тот же уровень защиты. Другой пример — IT-аутсорсинг, где администратор имеет доступ ко всем данным. DPA должен запрещать копирование или использование данных для иных целей, кроме тестирования.

Закон Грузии "О защите персональных данных" устанавливает, что Обработчик обязан защищать безопасность данных, но Контролер (заказчик) обязан убедиться в надежности исполнителя. DPA является документальным подтверждением этой "уверенности". Право аудита, которое должно быть в DPA, позволяет заказчику реально проверить исполнителя.

Сотрудничество с юристом включает переговоры с контрагентами. Часто крупные технологические компании (Microsoft, Google) предлагают стандартные DPA, которые сложно изменить. Юрист поможет вам понять, что вы подписываете, и как управлять остаточными рисками. С небольшими вендорами юрист подготовит строгий DPA с максимальной защитой ваших интересов.

Legal.ge — ваш партнер в юридическом обеспечении цифровой цепочки поставок (Supply Chain). Не полагайтесь на устные договоренности, когда речь идет о данных. Оформите профессиональный DPA с помощью наших экспертов.

Обновлено: ...

Специалисты этой услуги

Загрузка...