GDPR Data processing Agreement

EU GDPR addendum data processing agreement drafting

GDPR Data processing Agreement

GDPR addendum или Data processing agreement требуется при заключении контрактов/договоров с европейскими компаниями и организациями резидентами стран Европейского союза. GDPR addendum требуется всегда, когда выполнение работ или предоставление услуг связано с обработкой личных данных граждан стран ЕС. Документ, регулирующий вопросы обработки данных физических лиц при выполнении обязательств хозяйственно-правового характера, оформляется в виде дополнения Data processing addendum к основному контракту или как самостоятельный договор – Data processing agreement.

EU GDPR addendum data processing agreement drafting
GDPR Addendum и Data processing agreement в работе с заказчиками нерезидентами.

Что такое GDPR Data processing addendum?

При выполнении обязанностей по договорам о предоставлении услуг и выполнении работ часто возникает необходимость в обработке личных данных клиентов (пользователей) заказчика. Более того, некоторые виды услуг непосредственно направлены на массовый сбор и обработку личных данных клиентов. Буквально три примера оказания подобных услуг в интересах заказчика:

  1. Кол-центр и информационный саппорт.
  2. Обработка входящих заявок на оформление, продажу и отправку товара.
  3. Проведения верификации клиентов от имени заказчика.

Составление GDPR Data processing addendum и согласование обязанностей по данному соглашению с заказчиком (или наоборот c подрядчиком) – часть комплексной работы, направленной на соответствие регуляторным правилам Европейского союза о защите персональных данных. Более подробное изучение комплексной организации работы с персональными данными стоит начать с ознакомления с консультацией юристов Legal Support – Персональные данные и создание Data maps.

В практике документального оформления процессов обработки персональных  данных и выполнения связанных с этим процедур под GDPR addendum также нередко подразумевается дополнение к пользовательскому соглашению. В отличии от договора/дополнения, рассматриваемого нами сегодня, роль GDPR addendum к пользовательскому соглашению сводится исключительно к регулированию отношений между пользователем и компанией осуществляющей работу с персональными данными пользователей. Такой вариант GDPR addendum аналогичен Privacy policy или Privacy notice.

GDPR addendum (Data processing addendum) – документ, который оформляется и подписывается между контролером и обработчиком персональных данных, между заказчиком работ (услуг) и их исполнителем в дополнение к основному договору (контракту) или в форме самостоятельного соглашения. GDPR addendum также заключается между подрядчиком (обработчиком персональных данных) и его субподрядчиками.

Задача GDPR addendum заключается в разграничении обязанностей и ответственности сторон в отношении сбора, хранения и обработки личных данных субъектов персональных данных (пользователей, клиентов). Данным документом предусматриваются требования к обращению с персональными данными, гарантии обеспечения их сохранности и конфиденциальности. Необходимость заключать GDPR Addendum или GDPR data processing agreement обусловлена, в первую очередь, интересами заказчика и требованиями Регламента ЕС 2016/679 (General Data Protection Regulation) от 27 апреля 2016 года.

Когда необходимо оформлять и подписывать GDPR Addendum?

Требование по составлению и подписанию GDPR Data processing addendum или подобного ему соглашения предусмотрено частью 3 и частью 4 статьи 28 General data protection regulation. Все обязательства обработчика персональных данных, указанные в части 3 статьи 28 EU GDPR, должны найти полное отображение в Data processing agreement (addendum). При заключении Data processing agreement между контролером из Европейской экономической зоны и обработчиком из третьей страны, положения GDPR addendum требуют глубокой и всесторонней проработки для поиска баланса между предписаниями статьи 28 Регламента, обязательствами сторон и мерой ответственности обработчика персональных данных.

Юристы платформы Legal Support регулярно осуществляют составление Data processing agreement и проводят правовой анализ подобных соглашений. Наши юристы подготовили список случаев, когда оформление и подписание GDPR Addendum с контрагентом является обязательным. Для лучшего понимания мы перефразировали положения Регламента ЕС и изложили их простыми словами. Вот этот перечень:

  1. Вы или Ваша компания являетесь подрядчиком, осуществляете работы или предоставляете услуги прямо или косвенно связанные со сбором, хранением или обработкой персональных данных.
  2. Вы привлекаете субподрядчиков, например ФЛП, которые имеют доступ к сведениям субъектов персональных данных. GDPR Addendum подписывается и с субподрядчиками, на этот раз уже для того чтобы застраховать Вас и также выполнить обязательства, предусмотренные Регламентом ЕС.
  3. Вы являетесь контролером. Например, Ваша компания зарегистрирована в любой юрисдикции Европейской экономической зоны и Вы желаете поручить часть работы по сбору, обработке или хранению данных третьему лицу (подрядчику). Если подрядчиком выступает юридическое или физическое лицо, зарегистрированное за пределами ЕС, то заключение GDPR Addendum всегда является обязательным, без исключений. Аналогично – если подрядчик зарегистрирован, например, в Германии, но его субподрядчики или сотрудники, которые получат доступ к данным, находятся в Украине.
  4. Любые договорные правоотношения, которые предусматривают трансграничную (за пределы ЕС) передачу персональных данных физических лиц обязывает участников таких правоотношений взять на себя взаимные гарантии по Data processing agreement.

Какие обязанности сторон и мера ответственности отображаются в GDPR Data processing Addendum?

Самостоятельный Data Processing Agreement или дополнение (GDPR Addendum) к основному договору на выполнение работ (предоставление услуг) должен отображать как минимум следующие обязательства:

  • Исполнитель/подрядчик по договору (обработчик персональных данных, далее в этом перечне обязательств просто Обработчик) обязуется соблюдать все требования действующего законодательства о защите персональных данных;
  • Обработчик обязуется не осуществлять операции с персональными данными, характер и способ осуществления которых не согласован с контролером (заказчиком по договору);
  • В отношении своих сотрудников и субподрядчиков, которые имею доступ к персональным данным, Обработчик обязуется предпринять необходимые разумные меры для обеспечения надлежащего взаимодействия с персональными данными, их конфиденциальности и сохранности;
  • Для обеспечения выполнения предыдущего обязательства, Обработчик также заключает Data processing agreement со своими субподрядчиками. С сотрудниками компании заключается NDA, а также другие соглашения при необходимости;
  • Обработчик несет ответственность за сохранность персональных данных и обязуется предпринять соответствующие технические и организационные меры для обеспечения надлежащего уровня безопасности и сохранности данных;
  • Опционально – Обработчик обязуется не использовать услуги субподрядчиков и не раскрывать персональные данные третьим лицам без предварительного письменного разрешения контролера (исключением могут быть законные запросы компетентных органов);
  • Незамедлительно уведомить контролера в случае: 1) получения запроса от компетентных государственных органов и их должностных лиц о раскрытии персональных данных; 2) любых случаях компрометации и нарушения режима надлежащей сохранности данных; 3) в других случаях, согласованных в пунктах GDPR addendum или Data processing agreement;
  • Опционально – проводить оценку воздействия на защиту данных и связанные с этим предварительные консультации. Также, Обработчик обязан содействовать контролеру в проведении последним оценки воздействия на защиту данных и консультаций с контролирующими органами или другими компетентными органами по защите персональных данных;
  • Удалять данные и осуществлять другие операции с ними в соответствии с указаниями контролера и предписаниями EU GDPR;
  • По требованию контролера Обработчик должен предоставлять всю информацию, необходимую для демонстрации соответствия операций, осуществляемых Обработчиком, требованиям General Data Protection Regulation. Обработчик также обязуется не передавать данные в страны за пределами Европейской экономической зоны без предварительного письменного согласия контролера.

Есть ли типичная структура Data Processing Agreement?

Содержание Data Processing Agreement варьируется в зависимости от задачи его заключения. Впрочем, этот вид соглашений имеет свойственную типичную структуру. Текст самостоятельного соглашения об обработке персональных данных зачастую содержит такие разделы:

  • определение и толкование терминов, которые используются в Data processing agreement;
  • предмет соглашения, обязательства обработчика и контролера персональных данных;
  • обеспечение безопасности и сохранности информации субъектов персональных данных;
  • случаи трансграничной передачи персональных данных и работа с субподрядчиками;
  • ответственность за нарушение условий Data processing agreement;
  • применимое законодательство и порядок разрешения споров;
  • и, само собой, реквизиты сторон Data processing agreement.

Блог платформы Legal Support Ukraine регулярно пополняется новыми консультациями юрисконсультов, которые входят в наше объединения. Существенная часть консультаций посвящена юридической и организационной составляющей работы с персональными данными. Мы будем и дальше держать Вас в курсе наиболее существенных изменений и нововведений.

Составление Data processing Agreement (Addendum), юридический анализ и согласование разногласий:

Желаете иметь подтверждение адекватности требований контрагента и соразмерности обязательств Вашей стороны согласно Data processing addendum? Юрисконсульты платформы Legal Support Ukraine изучат предложенную к подписанию редакцию соглашения и предоставят развернутый анализ в форме правового заключения.

В случае если составление Data processing agreement (GDPR addendum) требуется Вашей стороне, мы изначально подготовим сбалансированный текст GDPR Data processing agreement исходя из интересов заказчика и требований Регламента ЕС. При необходимости, юристы также примут участие в согласовании разногласий с другой стороной договора. Защита Ваших интересов и грамотная аргументация Вашей позиции – ключевые ориентиры в процессе согласования разногласий по Data processing agreement и проведения переговоров от имени Вашей компании.

Кроме того, DPO являющиеся членами объединения Legal Support Ukraine, обеспечат комплексную поддержку и проведут необходимые действия в рамках обязательных GDPR Compliance процедур. Достаточно поставить задачу, юристы Legal Support Ukraine предложат на выбор несколько способов ее решения и воплотят в жизнь выбранный Вами вариант. Все услуги DPO и юристов доступны дистанционно.

юрист объединения Legal Support Ukraine, Евгений Мовчун

Блог – GDPR Data processing agreement

Facebook
Twitter
LINKEDIN