Особенности заключения соглашения об обработке персональных данных — колонка REVERA

Юлия Бурмистрова и Екатерина Яколцевич

Наиболее распространенными случаями, когда игровым компаниям необходимо заключить DPA, являются ситуации, когда они передают на аутсорс ведение процессов, в которых обрабатываются персональные данные. Наример, когда они:

• привлекают сторонних разработчиков, которые имеют доступ к персональным данным пользователей игр;
• привлекают рекламные компании, которые осуществляют показ рекламы в приложении;
• привлекают компании, осуществляющие маркетинговую рассылку пользователям (о новинках в приложении, новостях игровой компании и прочем);
• поручают сторонней компании обработку от своего имени персональных данных.

Легко сделать вывод, исходя из вышесказанного, что почти каждая компания (далее — «контролер») для ведения бизнеса и оптимизации отдельных процессов так или иначе привлекает третьих лиц (далее — «процессоров»), которые для оказания соответствующих услуг обрабатывают персональные данные от имени и по поручению контролера.

Несмотря на такую распространенность практики, при разработке текста DPA у компаний нередко возникают вопросы об условиях, которые являются достаточными и соответствующими требованиям GDPR, о форме заключения такого соглашения и иные.

Текст чуть ниже может упростить подобную работу над соглашением DPA.

Зачем заключать DPA?

Помимо того, что наличие DPA является прямым требованием ряда законодательств, есть и иные причины необходимости его заключения.

Контролер при организации процесса обработки персональных данных определяет основные критерии такой обработки. Это значит, что именно контролер несет ответственность за порядок их использования, конфиденциальность, а также последствия потенциальных инцидентов, связанных с утечкой персональных данных.

Именно поэтому при привлечении к обработке персональных данных процессоров контролер должен убедиться, что они обеспечивают достаточные гарантии по осуществлению технических и организационных мер.

Соответственно, в интересах контролера заключить DPA, чтобы урегулировать вопросы порядка обработки персональных данных процессором: что может делать, какие данные процессор получает и какие обязательные меры по защите данных должен предпринять. Посредством этого контролер в первую очередь обезопасит себя, поскольку в случае, если процессором будут нарушены требования к обработке персональных данных и произойдет утечка персональных данных субъектов, ответственность перед ними будет нести в том числе и контролер.

Какие предусмотрены последствия при отсутствии и (или) некорректном составлении DPA?

Отсутствие DPA является нарушением требований GDPR, при выявлении которого надзорные органы вправе применять различные виды корректирующих мер.

Полный список корректирующих мер изложен в ст. 58 GDPR. Среди них – дача предупреждения о нарушении требований GDPR, требование о приведении операций по обработке данных в соответствие с требованиями о защите персональных данных и наложение административного штрафа, что для компаний весьма существенно, поскольку размер штрафа может быть весьма внушительным.

Согласно GDPR, за отсутствие DPA на компанию может накладываться административный штраф в размере до 10 млн евро или до 2% от общего мирового годового оборота за предыдущий финансовый год (в зависимости от того, какая сумма больше).

Несколько кейсов и цифр:

• Компания Lazio Region для организации работы колл-центров привлекала к обработке подрядчиков без заключения DPA. За выявленное нарушение компания Lazio Region была оштрафована итальянским надзорным органом на 75 тысяч евро.
• Компания Dedalus Biologie SAS, поставщик программного обеспечения для медицинских аналитических лабораторий, была оштрафована на 1,5 млн евро за ряд нарушений, среди которых были (1) выход за инструкции контролера (Dedalus Biologie SAS собирала излишние персональные данные), (2) отсутствие всех необходимых технических и организационных мер защиты данных (отсутствовало шифрование персональных данных и т.д.), (3) договорная документация, действующая с ее клиентами, не содержала обязательных положений.
• Isweb S.p.A., IT-компания, поставщик системы управления информированием о нарушениях, была оштрафована на 40 тысяч евро, за то, что не урегулировала свои отношения с хостинг-провайдером, которому поручала обработку данных.

В какой форме заключить DPA?

В зависимости от того, как строятся отношения между контролером и процессором, отличаются ли параметры (цель обработки, сроки, перечень данных, иные обязательства) обработки персональных данных, может отличаться форма заключения DPA. Зачастую используются две формы заключения DPA:

• (1) письменная – используется, когда обработка персональных данных процессором имеет какие-либо особенности.

Например, компания, осуществляющая разработку и паблишинг мобильных приложений для осуществления услуг по технической поддержке пользователей привлекает одного подрядчика, а также для показа таргетированной рекламы привлекает другого подрядчика. Порядок обработки данных такими подрядчикам разный, т.к. основные критерии обработки данных будут отличаться в зависимости от оказываемых услуг. В таком случае целесообразно заключать DPA в письменном виде с каждым конкретным процессором.

• (2) в форме публичной оферты – используется, когда параметры обработки персональных данных одинаковые.

Например, такой вариант целесообразно использовать, когда компания предоставляет одни и те же услуги для всех контрагентов. Соответственно, порядок обработки данных не изменяется при заключении нового договора с контрагентом и подписывать с каждым контрагентом отдельный DPA является нецелесообразным. Поэтому в данном случае можно разработать и разместить на сайте компании общую форму DPA, который будет применяться ко всем контрагентам, пользующиеся их услугами.

Минимальные условия, которые должны быть закреплены в DPA

Законодательство не содержит исчерпывающий перечень условий, которые следует закрепить в DPA. В данном случае у сторон есть определенная свобода выбора условий при их согласовании. Однако GDPR все же содержит минимальный список условий и обязанностей сторон, которые необходимо закрепить в DPA (ст. 28 GDPR).

Ниже обозначили чек-лист с базовыми условиями, которые необходимо включить в текст DPA.

1. DPA должен содержать описание следующих деталей обработки:

• предмет и срок обработки;
• характер и цель обработки;
• тип персональных данных;
• категории субъектов данных;
• права и обязанности контролера.

2. DPA должен предусматривать следующие обязанности процессора:

• осуществление обработки персональных данных только на основании письменных инструкций контролера;

Инструкции контролера могут оформляться различным образом: посредством электронной почты, CRM-систем, в тексте DPA. При этом, из положений DPA должно явно следовать, что именно контролер, а не процессор, осуществляет контроль над тем, как обрабатываются персональные данные.

В случае, если процессор выходит за рамки инструкций, то он будет считаться контролером в отношении такой обработки и будет нести ответственность перед субъектом как контролер.

Один из самых распространенных примеров, когда процессор выходит за рамки инструкций контролера – это обработка персональных данных после истечения срока, установленного контролером. В таком случае с момента истечения срока обработки процессор должен самостоятельно определить правомерность дальнейшей обработки, определить параметры такой обработки, правовое основание и т.д.

• гарантия того, что лица, уполномоченные обрабатывать персональные данные, связаны обязательством о конфиденциальности;

Такое обязательство должно распространяться на работников и иных лиц процессора, которые имеют доступ к персональным данным контролера.

Положение о конфиденциальности может быть обусловлено как договорными обязательствами с работниками (подрядчиками), так и в силу требования законодательства.

• обеспечение адекватной информационной безопасности, технических и организационных мер защиты персональных данных;

К таким мерам, в частности, относятся шифрование, псевдонимизация; способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки и т.д. Полный перечень таких мер закреплен в ст. 32 GDPR.

• соблюдение условий привлечения cуб-процессора;

GDPR допускает привлечение процессором к обработке персональных данных иных лиц («суб-процессоры»). Например, для осуществления маркетингового продвижения (рекламные кампании и маркетинговые рассылки пользователям) приложения компания (контролер) привлекает рекламную организацию, которой передает персональные данные своих пользователей (процессор), в свою очередь рекламная организация для осуществления маркетинговой рассылки для контролера привлекает иную компанию, которая в свою очередь будет являться суб-процессором в понимании GDPR.

Для привлечения суб-процессоров необходимо, чтобы в DPA были закреплены и соблюдались следующие условия:

• • привлечение суб-процессора только с согласия или уведомления контролера;
  • если суб-процессор привлекается на основании уведомления, то у контролера должны быть законные механизмы возразить против привлечения того или иного суб-процессора;
  • при привлечении суб-процессора между ним и процессором должен быть заключен DPA, налагающий на суб-процессора аналогичные обязательства по защите данных, которые налагаются на процессора;
  • процессор несет ответственность перед контролером за соблюдение суб-процессором обязательств по защите персональных данных.

• оказание содействия контролеру в реализации прав субъектов персональных данных;

DPA должен содержать порядок взаимодействия контролера и процессора при рассмотрении заявлений субъектов о реализации их прав в рамках GDPR. Например, в DPA может содержаться условие, в соответствии с которым процессор не может отвечать на заявления субъектов, а также может быть установлена обязанность процессора принимать соответствующие технические и организационные меры, чтобы помочь контролеру реагировать на запросы субъектов персональных данных.

• оказание содействия контролеру в выполнении обязательств, изложенных в ст. 32-36 GDPR;

GDPR накладывает на контролера ряд обязательств по обеспечению защиты персональных данных (например, уведомлять субъектов персональных данных и контролирующий орган об утечке персональных данных, проводить оценки воздействия на защиту персональных данных (DPIA) и т.д.). В DPA необходимо четко установить, как процессор должен содействовать контролёру в выполнении указанных обязательств.

• прекращение обработки персональных данных по истечении срока их обработки;

DPA должен содержать условие о том, что процессор обязан удалить или вернуть все персональные данные контролеру после окончания срока обработки, а также удалить существующие копии.

• предоставление контролеру возможности проводить аудит соблюдения требований GDPR и условий DPA.

Обязательным требованием к DPA является наличие следующих обязательств процессора:

• • обязательство предоставить контролеру всю информацию, необходимую для подтверждения того, что обязательства, изложенные в ст. 28 GDPR, соблюдаются;
  • и обязательство разрешать и способствовать аудитам и проверкам, проводимым контролёром или аудитором, которого назначает контролер.

***

DPA является ключевым документом при установлении рамок во взаимоотношениях между контролерами и процессорами. Именно поэтому следует уделить составлению DPA особое внимание.