Duomenų tvarkymo sutartis (DPA) pagal BDAR: privalomi elementai ir dažniausios klaidos

Duomenų tvarkymo sutartis (DPA – Data Processing Agreement) privaloma kiekvieną kartą, kai duomenų valdytojas (jūsų įmonė) perduoda asmens duomenų tvarkymą trečiajai šaliai – duomenų tvarkytojui. Tipiniai atvejai: buhalterinės apskaitos paslaugos, debesijos (cloud) sprendimai, el. pašto marketingo įrankiai, IT palaikymo paslaugos, darbuotojų valdymo sistemos. Svarbu: jei naudojate „Microsoft 365", „Google Workspace", „HubSpot" ar bet kurią SaaS platformą, kuri apdoroja jūsų klientų ar darbuotojų duomenis – DPA privalo būti pasirašyta. Bauda už jos nebuvimą siekia iki 10 mln. EUR arba 2 % metinės apyvartos pagal BDAR 83 str. 4 d.

Pagal BDAR 28 str. 3 d. duomenų tvarkymo sutartyje privaloma numatyti: (a) tvarkymas tik pagal dokumentuotus duomenų valdytojo nurodymus; (b) konfidencialumas – visi tvarkytojai pasirašo konfidencialumo įsipareigojimus; (c) techninės ir organizacinės saugumo priemonės (BDAR 32 str.); (d) subtvarkytojų naudojimo apribojimai ir sutikimo reikalavimas; (e) pagalba duomenų subjektų teisėms įgyvendinti; (f) pagalba saugumo incidentų valdyme ir DPIA (poveikio vertinime); (g) visų duomenų ištrynimas ar grąžinimas pasibaigus sutarčiai; (h) auditų teisė duomenų valdytojui. Jei bent vienas iš šių elementų trūksta – DPA yra nepilna ir neatitinka BDAR reikalavimų.

Vienas sudėtingiausių DPA aspektų – subtvarkytojų kontrolė. Jei jūsų duomenų tvarkytojas (pvz., IT įmonė) naudoja subtvarkytojus (pvz., AWS, Azure), jie visi privalo būti įtraukti į sutartį arba pateiktas subtvarkytojų sąrašas. Tvarkytojas privalo gauti jūsų rašytinį leidimą prieš naudodamas naujus subtvarkytojus – konkrečius (konkrečiam subjektui) arba bendrą (bet kuriems, tačiau su įspėjimo pareiga). Rekomendacija: sutartyje nurodykite, kad tvarkytojas privalo pranešti apie naujus subtvarkytojus ne vėliau kaip prieš 30 dienų, suteikiant jums teisę prieštarauti.

Jei jūsų tvarkytojas yra už ES/EEE ribų (pvz., JAV, Indija), duomenų perdavimui reikalingas tinkamas teisinis mechanizmas: ES standartinės sutarčių sąlygos (SCC – Standard Contractual Clauses, atnaujintos 2021 m.); Europos Komisijos tinkamumo sprendimas (pvz., JAV atveju – EU-US Data Privacy Framework); Privalomos įmonės taisyklės (BCR). Nuo 2021 m. galiojančios naujos SCC turi konkretų modulį „valdytojas → tvarkytojas". Jei naudojate senas SCC (iki 2021 m.) – jos nebegalioja ir reikia atnaujinti. Rekomendacija: visada patikrinkite, ar jūsų SaaS tiekėjų DPA yra atnaujinta su naujomis SCC.

DPA turi aiškiai numatyti duomenų saugumo incidentų pranešimo tvarką. Tvarkytojas privalo pranešti valdytojui apie bet kokį saugumo incidentą be nepagrįsto delsimo – praktiškai per 24–48 valandas, kad valdytojas galėtų įvykdyti 72 valandų pranešimo pareigą VDAI (Valstybinei duomenų apsaugos inspekcijai). Sutartyje nurodykite: kontaktinį asmenį incidentams pranešti, informacijos, kurią turi pateikti tvarkytojas, sąrašą (incidento pobūdis, paveikti asmenys, galimos pasekmės, pašalinimo priemonės) ir bendradarbiavimo su VDAI procedūrą.

DPA privalo numatyti aiškų duomenų saugojimo terminą ir ištrynimo/grąžinimo tvarką pasibaigus sutarčiai. Duomenys negali būti saugomi ilgiau nei būtina (duomenų kiekio mažinimo principas). Rekomendacija: nurodykite konkrečius terminus pagal duomenų kategoriją (pvz., klientų duomenys – 3 metai po paskutinio sandorio; darbuotojų – 10 metų; el. pašto marketingo – 2 metai). Pasibaigus sutarčiai – tvarkytojas privalo per 30 dienų ištrinti visus duomenis ir raštu patvirtinti ištrynimą. Jei tvarkytojas turi teisines prievoles saugoti duomenis ilgiau – tai turi būti aiškiai nurodyta DPA.

Klaida 1: DPA apskritai nėra – įmonė naudoja SaaS įrankius be jokio DPA. Klaida 2: Naudojama sena DPA šablonas be naujų SCC (iki 2021 m.) – nebegalioja. Klaida 3: Subtvarkytojų sąrašas neegzistuoja arba neatnaujinamas – įmonė nežino, kur iš tikrųjų keliauja jos duomenys. Klaida 4: DPA pasirašyta, bet saugumo priemonės (BDAR 32 str.) neaprašytos – forma be turinio. Klaida 5: Nenumatytas auditų mechanizmas – BDAR reikalauja, kad valdytojas galėtų patikrinti tvarkytojo atitikimą, tačiau dauguma sutarčių šios teisės nesuteikia arba ją apsunkina nepagrįstomis sąlygomis.