DPA (Duomenų tvarkymo sutartis) su rangovu: kada būtina ir kas privalo būti įrašyta

DPA (Data Processing Agreement — Duomenų tvarkymo sutartis) su rangovu yra teisiškai privalomas rašytinis susitarimas tarp duomenų valdytojo (jūsų įmonės) ir duomenų tvarkytojo (rangovo, teikiančio paslaugas jūsų vardu). BDAR 28 str. 1 d. aiškiai nustato: duomenų valdytojas gali naudoti tik tokius duomenų tvarkytojus, kurie suteikia pakankamas garantijas dėl techninių ir organizacinių priemonių atitikties BDAR reikalavimams. Svarbiausia praktinė pasekmė — jūs liekate atsakingi prieš savo klientus ir Valstybinę duomenų apsaugos inspekciją (VDAI) net tuomet, kai duomenis tvarko jūsų rangovas. Jei rangovas nusižengė BDAR ir pažeidė jūsų klientų duomenis, baudą gali gauti ne tik rangovas, bet ir jūsų įmonė. BDAR 83 str. 4 d. numato baudą iki 10 mln. EUR arba 2 % metinės pasaulinės apyvartos. DPA yra ta teisinė priemonė, kuri apibrėžia abiejų šalių atsakomybę, leidžia kontroliuoti, kaip rangovas naudoja klientų duomenis, ir apgina jus tiesioginės baudos atveju. Be DPA — atsakomybė nedaloma.

DPA privaloma kiekvienu atveju, kai išorinis rangovas tvarko jūsų klientų ar darbuotojų asmens duomenis jūsų vardu. Dažniausiai pasitaikantys atvejai Lietuvos įmonėse: (1) Marketingo agentūra — siunčia el. pašto kampanijas jūsų klientų sąrašui, mato ir naudoja klientų el. pašto adresus bei elgsenos duomenis. DPA privaloma. (2) Buhalterijos paslaugos — tvarko darbuotojų asmens kodus, banko duomenis, atlyginimų informaciją. DPA privaloma. (3) IT paslaugos su prieiga prie sistemų — IT rangovas, turintis administratoriaus prieigą prie jūsų CRM, duomenų bazės ar verslo sistemų. DPA privaloma. (4) Debesų (cloud) sprendimai — AWS, Google Cloud, Azure saugo jūsų klientų duomenis. Didieji tiekėjai turi standartinius DPA priedus, bet juos reikia aktyvuoti arba atskiru dokumentu pasirašyti. (5) Klientų aptarnavimo outsourcing — skambučių centras ar pokalbių (chat) pagalbos komanda, turinti prieigą prie klientų profilių ir užsakymų istorijos. DPA privaloma. (6) HR ir personalo atrankos agentūros — jei perduodate CV ir kandidatų asmens duomenis atrankos paslaugas teikiančiai įmonei.

Ne kiekvienas verslo ryšys su išoriniu partneriu reikalauja DPA. Trys pagrindinės išimtys: (1) Rangovas yra savarankiškas duomenų valdytojas. Bankai, draudimo bendrovės, notarai — jie tvarko duomenis savo tikslais pagal savo teisinius įsipareigojimus, o ne jūsų vardu. Pavyzdžiui, jei darbuotojas sudaro privataus medicininio draudimo sutartį — draudikas yra savarankiškas valdytojas, ne jūsų tvarkytojas. DPA nereikia. (2) Rangovas tvarko tik savo duomenis sandorio metu. Jei perkate prekes ar paslaugas iš tiekėjo ir pateikiate tik kontaktinius duomenis sąskaitos išrašymui, tiekėjas tvarko tuos duomenis savo sandorių tikslams. DPA nereikia, tačiau tiekėjas privalo turėti savo privatumo politiką. (3) Tvarkymas su anoniminiais duomenimis. Jei perduodate rangovo duomenis, iš kurių neįmanoma identifikuoti konkretaus asmens — pvz., agreguotą statistiką ar anonimizuotas ataskaitas — BDAR netaikomas ir DPA nereikalinga. Svarbus perspėjimas: prieš nusprendžiant, kad DPA nereikia, vertinimą rekomenduojame atlikti su teisininku — nes ribos dažnai būna neaiškios.

BDAR 28 str. 3 d. numato konkrečius elementus, kurie privalo būti kiekvienoje DPA su rangovu. Oficialiai BDAR išvardija 8 (a–h punktai), tačiau praktikoje dažnai pridedamas devintasis — tvarkymo veiklos registras pagal BDAR 30 str. Visi 9 privalomi elementai: (1) Tvarkymo dalykas ir trukmė — ką konkrečiai tvarko rangovas ir kiek laiko. (2) Tvarkymo pobūdis ir tikslas — kaip ir dėl kokio tikslo tvarkomi duomenys. (3) Asmens duomenų rūšys — kontaktiniai, finansiniai, specialių kategorijų duomenys. (4) Duomenų subjektų kategorijos — klientai, darbuotojai, partneriai. (5) Valdytojo teisės ir pareigos — kontrolė, nurodymai, auditas. (6) Tvarkytojo įsipareigojimai — tvarkymas tik pagal dokumentuotus nurodymus, konfidencialumas, saugumas (BDAR 32 str.). (7) Subrangovai — sutikimo mechanizmas, viešas sąrašas, pranešimų apie pakeitimus tvarka. (8) Pagalba valdytojui — atsakymas į duomenų subjektų prašymus (prieiga, ištrynimas, portabilumas) ir pranešimai apie pažeidimus. (9) Audito teisė — valdytojo galimybė tikrinti rangovo BDAR atitikimą. Jei bent vieno elemento trūksta — DPA laikoma nepilna, net jei abi šalys ją pasirašė.

BDAR 32 str. reikalauja tinkamų techninių ir organizacinių saugumo priemonių — ir jos turi būti konkrečiai aprašytos DPA, o ne paliktos abstrakčiai frazei „rangovas užtikrins duomenų saugumą". Minimalus saugumo priemonių sąrašas, kurį reikia įrašyti DPA: (1) Duomenų šifravimas perduodant (TLS 1.2 ar naujesnė) ir saugant (AES-256 ar lygiavertė). (2) Prieigos teisių valdymas — minimalių teisių principas (angl. least privilege), daugiafaktorinė autentifikacija privilegijuotoms paskyroms. (3) Pranešimas apie saugumo pažeidimus — rangovas privalo pranešti valdytojui be nepagrįsto delsimo, praktiškai per 24–48 val., kad valdytojas galėtų laikytis BDAR 33 str. 72 val. termino pranešimui VDAI. (4) Personalo konfidencialumo įsipareigojimai — visi prie duomenų prieigą turintys darbuotojai privalo pasirašyti konfidencialumo sutartis. (5) Saugumo audito teisė — galimybė reikalauti ISO 27001 ar SOC 2 sertifikatų arba tiesiogiai atlikti patikrinimą. (6) Atsarginių kopijų kūrimas ir duomenų atkūrimo planai su aiškiais RTO/RPO rodikliais. Saugumo priemonės turi būti specifinės ir patikrinamos — ne deklaratyvios.

BDAR 28 str. 2 d. draudžia duomenų tvarkytojui samdyti subrangovą (subtvarkytoją) be išankstinio rašytinio duomenų valdytojo sutikimo — ši nuostata ypač svarbi skaitmeniniame versle. Realus pavyzdys: marketingo agentūra naudoja Mailchimp (JAV) el. pašto kampanijoms. Tai reiškia, kad Mailchimp yra subrangovas, tvarkantis jūsų klientų duomenis. Jei DPA neapima Mailchimp arba neaprašo jo kaip subrangovo, jūsų klientų duomenys teka neregistruotais kanalais — tai yra BDAR pažeidimas. Du legalūs sutikimo su subrangovais modeliai: (1) Konkretus sutikimas — jūs patvirtinate kiekvieną subrangovą atskirai (teoriškai idealus, praktiškai nepatogus dinamiškai kintančioms paslaugoms). (2) Bendras sutikimas su sąrašu — rangovas teikia viešą subrangovų sąrašą ir privalo pranešti apie pakeitimus prieš 30 dienų, suteikiant jums teisę prieštarauti. Pagal BDAR 28 str. 4 d. visi subrangovai turi laikytis tų pačių BDAR sąlygų kaip pagrindinis rangovas — subrangovų grandinė negali sumažinti jūsų klientų apsaugos lygio. Reikalauti subrangovų sąrašo — būtina prieš pasirašant DPA.

Remiantis VDAI praktika ir teisininkų patirtimi, štai šešios dažniausiai pasitaikančios klaidos Lietuvos įmonių DPA: (1) DPA pasirašyta, bet realiai nevykdoma — audito teisė dokumente yra, tačiau rangovas niekada nepatikrintas, konfidencialumo įsipareigojimai darbuotojų nepasirašyti. Formalus atitikimas be realios apsaugos. (2) Trūksta subrangovų sąrašo — DPA nurodo, kad subrangovai naudojami, bet neįvardija kurie konkretūs. VDAI vertina tai kaip rimtą spragą. (3) Per ilgas pranešimo apie pažeidimus terminas — jei DPA numato 72 val. pranešimą valdytojui, tai jau per vėlu: valdytojas turi 72 val. pranešti VDAI, tad tvarkytojo pranešimas turi būti per 24–48 val. (4) Nėra aiškios duomenų saugojimo trukmės — „saugome tol, kol reikia" neatitinka BDAR 5 str. 1 d. e p. duomenų kiekio mažinimo principo. (5) Tarptautinis perdavimas be SCC — rangovas naudoja JAV serverius, bet DPA neturi standartinių sutarčių sąlygų (SCC) priedų pagal BDAR 46 str. (6) Generinis šablonas be specifikos — vienas DPA šablonas visoms paslaugoms be tikslių duomenų kategorijų, tvarkymo tikslų ar trukmės. VDAI baudžia ne tik už pažeidimus, bet ir už neadekvačią dokumentaciją.

Panagrinėkime tipinę situaciją: Lietuvos e-komercijos UAB samdo marketingo agentūrą el. pašto kampanijų vykdymui, o agentūra naudoja Mailchimp (JAV). Kokie dokumentai reikalingi? Pirma: DPA tarp UAB ir agentūros — apibrėžia agentūrą kaip duomenų tvarkytoją, nurodo tvarkomus duomenis (klientų el. paštas, vardas, pirkimų istorija), tvarkymo tikslą (el. pašto marketingas), saugojimo trukmę, saugumo priemones ir Mailchimp kaip subrangovą su vieta subrangovų sąraše. Antra: DPA su Mailchimp — Mailchimp turi standartinę DPA savo paslaugų sąlygose su SCC JAV–ES duomenų perdavimui. Agentūra privalo aktyvuoti šią DPA Mailchimp paskyroje ir suteikti UAB jos kopiją. Trečia: tarptautinio perdavimo mechanizmas — Mailchimp naudoja EU–JAV Data Privacy Framework (DPF) arba SCC priedus; tai turi atsispindėti sutarčių dokumentuose. Dažniausia klaida: UAB pasirašo DPA su agentūra, bet nereikalauja įrodymų, kad agentūra turi tinkamą DPA su Mailchimp. Tokiu atveju UAB, kaip duomenų valdytojas, atsako už subrangovo grandinės spragą — net jei apie Mailchimp naudojimą nežinojo.

K: Ar pakanka įprastos paslaugų sutarties su BDAR skyriumi? Ne. BDAR 28 str. 3 d. reikalauja, kad DPA apimtų visus privalomus elementus — tvarkymo dalyką, duomenų kategorijas, subrangovų sąrašą, audito teisę ir kt. Įprastos sutarties sąlyga tipo „rangovas įsipareigoja laikytis BDAR" neatitinka šių reikalavimų ir VDAI patikrinimo neatlaiko. K: Kas atsako, jei rangovas pažeidžia BDAR? Pagal BDAR 82 str. ir 83 str. — abu: tiek valdytojas, tiek tvarkytojas gali būti traukiami atsakomybėn. Tvarkytojas atsako, jei pažeidė DPA sąlygas ar BDAR nuostatas; valdytojas atsako, jei pasirinko nepatikimą rangovą arba nereikalavo tinkamos DPA. DPA sumažina valdytojo atsakomybę, bet visiškai neatleidžia nuo jos. K: Kiek laiko reikia saugoti DPA dokumentus po sutarties pabaigos? BDAR 5 str. 2 d. atskaitomybės principas reikalauja gebėjimo įrodyti atitikimą bet kuriuo metu. Rekomenduojama DPA dokumentus saugoti ne mažiau kaip 3–5 metus po sutarties pabaigos; pažeidimų atveju — iki 10 metų, kol baigiasi galimi senaties terminai.