Що таке DPA і чи треба його підписувати?

Що таке договір про обробку даних (DPA), що у ньому вказують, коли і чому його просять підписувати іноземні клієнти — розповідає в колонці для AIN.Business Оксана Задніпровська, партнерка Axon Partners.

Що таке DPA/SCC і до чого тут український бізнес?

У вас є іноземна компанія, українська ТОВ чи ФОП, і ви ведете бізнес в Україні. Працюєте з іноземними партнерами, маєте клієнтуру в ЄС. До пори до часу ви користуєтеся типовими договорами про надання послуг, і всіх усе влаштовує. Та протягом останнього року вас наполегливо просять підписати якісь DPA/SCC… 

Відповідно до GDPR компанії мусять підписувати письмові договори про обробку даних з усіма, кому вони передають персональні дані. До речі, GDPR може поширюватися і на український бізнес. Хоч прохання підписати DPA прилітає переважно від європейських клієнтів, загалом воно може надійти від будь-якої компанії, яка підпадає під GDPR, і це буде нормальна і цілком законна вимога. 

Коли вам пропонують підписати документи про обробку даних, як мінімум, розрізняйте договори двох форматів:

• DPA, data processing agreement – це загальна назва для позначення договору про обробку даних. 
• SCC, standard contractual clauses – це стандартні договірні положення, які затвердила Єврокомісія. SCC бувають двох різних видів: перші – підписують при передачі даних з Європейської Економічної Зони в треті країни (Україна, США, інші країни, які не у цьому списку Єврокомісії), другі – слугують для обробки в межах Європейської Економічної Зони.

Свої окремі SCC є у Великобританії, яка покинула ЄС. Принцип схожий, але вони трохи відрізняються. Про британські SCC поговоримо іншим разом.

Ми не обробляємо персональні дані, тому не хочемо нічого підписувати

Вам може здаватися, що в даних, які вам передають європейські партнери, немає нічого персонального. Ви ж не отримуєте імена, номери телефонів, паспорти. Але персональні дані в ЄС – це і IP-адреси (статичні, динамічні), і дані про використання сервісів, і геолокація, і все на світі, що дозволяє хоч якось ідентифікувати людину. Тому ваш європейський партнер краще знає, чи передає він вам персональні дані і чи треба підписувати DPA/SCC.

Коли потрібен DPA/SCC — приклади 

У цьому питанні європейського законодавства допомагає свіже роз’яснення EDPB. 

EDPB (European Data Protection Board) – незалежний орган ЄС, що відповідає за належне застосування GDPR та полегшує співпрацю між регуляторами у сфері персональних даних в ЄС.

Наприклад, якщо користувач із Риму реєструється на сайті і замовляє товари напряму в Сінгапурської компанії, то це не вважається передачею даних у третю країну. DPA у форматі SCC не потрібен, бо компанія самостійно збирає дані від користувача. 

Але передача даних є, коли:

• компанія з Австрії передає дані працівників і клієнтів компанії в Чилі. Тоді треба підписувати SCC;
• компанія в Німеччині залучає іншу компанію в Франції для обробки даних у її інтересах, а компанія у Франції натомість залучає компанію в Індії до частини процесів з обробки даних. Тоді потрібен DPA між німцями й французами та SCC між французами та індійцями.

Отже, звичайні DPA при передаванні даних підписують між собою європейські компанії. DPA у формі SCC для передачі даних у треті країни підписують з неєвропейськими компаніями. 

До речі, українське законодавство також вимагає підписувати письмовий договір при передачі даних в Україні чи поза її межі. От тільки така практика менш поширена, ніж в ЄС, оскільки в Україні немає дієвої відповідальності за порушення такого обовʼязку.

Як вигляд мають SCC для передачі даних у треті країни?

Стандартні договірні положення в ЄС затверджує Єврокомісія. Оновлені положення Єврокомісія затвердила в червні цього року, і з 27 вересня 2021 року можна підписувати лише SCC за новим форматом.

Європейський бізнес може виступати в різних ролях у процесі передавання даних (як контролер чи як процесор). Тому Єврокомісія передбачає 4 модулі SCC на вибір з усіма можливими варіаціями. Модулі стандартні, їх текст не можна змінювати, крім декількох статей та додатків. Кожен модуль SCC покладає на бізнес, який отримує дані, ряд обов’язків щодо захисту даних. 

Як визначити вашу роль і обрати правильний модуль SCC?

За GDPR, як і за українським законодавством, бізнес, який обробляє персональні дані, може бути або контролером (він же володілець), або процесором (він же розпорядник). 

Контролером є компанія, яка визначає, для чого і як обробляти персональні дані. Натомість процесор обробляє дані строго відповідно до завдань і вказівок контролера. 

Є сервіси, які дозволяють визначитися, який модуль потрібен, згенерувати його чи просто завантажити шаблони (наприклад, тут, або тут, або тут, або тут).

Найбільш поширений випадок для бізнесу в Україні – це коли європейські партнери – контролери, а український бізнес – процесор. А буває, що європейські партнери є процесорами, тоді український бізнес може бути супроцесором. У цьому разі європейський партнер укладає DPA із контролером і дзеркально переносить більшість зобов’язань на інших процесорів поза ЄЕЗ, укладаючи з ним SCC.

Якщо у вас є сумніви, яку роль ви виконуєте – можна звернутися до ще одних роз’яснень EDPB. Але зазвичай це за вас уже зробить європейський партнер, який передає вам дані.

Які обов’язки покладаються на вас за SCC, і що з цього нормально?

SCC створені спеціально для того, щоб приносити біль українському бізнесу покласти на неєвропейських контрагентів обов’язки, які на них не покладає їхнє місцеве законодавство. 

Це нормально, наприклад, коли SCC передбачають, що процесор з України буде:

• обробляти дані лише відповідно до визначеної мети та інструкцій європейського партнера;
• сприяти європейському партнеру у реалізації прав користувачів (як-от виправляти помилки у даних, розповідати про скаргу користувача і допомагати на неї відповідати);
• видаляти дані на першу вимогу партнера;
• дбати про безпеку даних = впроваджувати технічні та організаційні заходи безпеки;
• негайно повідомляти, якщо хакери вдерлися до бази;
• вести облік даних, які прилітають від партнера;
• залучати ФОПів до обробки, тільки якщо погодили це з партнером (наприклад, одразу надали список, або попередили про кожну людину окремо);
• повідомляти партнера, якщо українські правоохоронці пхали свого носа в персональні дані, отримані від партнера (плюс бажано всіляко заважати це робити);
• підпорядковуватися праву країни європейського партнера.

Які обов’язки за DPA можна пробувати прибрати/обмежити?

SCC – це модельні положення, які не можна змінювати на шкоду правам суб’єктів даних. Але це не означає, що до SCC не можна додавати нових чи деталізованих обов’язків. Будьте готові, що європейський партнер може вам підсунути не тільки SCC, а і DPA, у якому SCC – це тільки додаток. На початку такого DPA можуть бути передбачені додаткові обов’язки і відповідальність. І саме щодо цих положень можна торгуватися.

Приклади:

1. Аудит. Ви можете спробувати трохи обмежити права європейського партнера порушувати ваш спокій перевірками. Наприклад, можна прописати бажаний строк для попередження від партнера про аудит. Плюс можна продумати чесну систему розподілу витрат на аудит.
2. Гарантії від партнера. Можна додати гарантій в DPA, що всі дані передаються вам законно. Тобто, щонайменше партнер має гарантувати, що в нього є належні правові підстави обробляти персональні дані, які він вам передає, і що партнер не передає вам щось зайве чи незаконно зібране і не порушує інші вимоги законодавства своєї країни. 
3. Захист даних і мінімізація обробки. Дуже навіть доречно торгуватися, у якому вигляді ви будете отримувати дані. Цілком пристойно вимагати, щоб партнер передавав дані у шифрованому вигляді, чистив свої бази даних, де це не шкодить вашій роботі, і не направляв вам нічого зайвого. Чим більше заходів захисту впровадить партнер зі свого боку – тим менше заходів захисту лягатимуть на ваші плечі.

Ми підписали DPA/SCC: що зробити, аби все працювало?

Підписати договір не = виконувати його. 

Щоб реалізувати всі свої обов’язки, треба плідно попрацювати. Можна, наприклад:

1. провести transfer impact assessment – проаналізувати і зафіксувати у документі, які є ризики з передачі даних в Україну та як ви їх можете мінімізувати;
2. призначити відповідального за питання захисту персональних даних (DPO, data protection officer), який буде слідкувати за процесами обробки;
3. розібратися із потоками даних і вести облік будь-яких змін;
4. дійсно впровадити описані в SCC технічні та організаційні заходи захисту на практиці;
5. час від часу перевіряти ефективність заходів;
6. підготувати внутрішні політики і навчати людей прописаних там правил.

Що буде, якщо забити на DPA/SCC? 

Якщо ви відмовляєтеся підписувати договори або не виконуєте прописані там обов’язки, – будьте готові до репутаційних і фінансових втрат. 

Бо що буває страшніше для українського бізнесу, ніж:

• штраф: за GDPR штрафи від європейських регуляторів можуть сягати до 20 млн євро або 4% загального річного обороту (залежно що більше). Ясне діло, що штрафи не завжди такі великі, це лише максимальна межа, яку може зменшити регулятор. Плюс щоб застосувати штраф прямо до українського бізнесу без представника чи компанії в ЄС, регулятору треба буде добряче попрацювати;
• відшкодування збитків: якщо регулятор накладе штраф на партнера в ЄС, партнер за договором може «спустити» штраф на вас; якщо партнер відшкодовуватиме збитки звичайним людям із ЄС, це також можна передати вам; 
• постраждала репутація (коли про байдужість до персональних даних дізнаються): європейцям легше не працювати з бізнесом, якому байдуже до персональних даних, і обмінюватися відгуками про ненадійного партнера з іншими. Чи варто ізолюватися від цілого ринку ЄС?

Тож краще і підписувати, і виконувати. Або приймати бізнес-ризики, як є, і сподіватися на краще.

Оксана Задніпровська, партнерка Axon Partners