Duomenų tvarkymo sutartis su debesų kompiuterijos tiekėjais: BDAR 28 str.

BDAR 28 str. 1 dalis aiškiai nustato: kai duomenų valdytojas naudoja duomenų tvarkytojo paslaugas, privalo sudaryti rašytinę duomenų tvarkymo sutartį (DPA). Debesų kompiuterija (cloud) — tai klasikinis duomenų tvarkymo atvejis: jūsų įmonė (duomenų valdytojas) perduoda klientų ar darbuotojų duomenis AWS, Google Cloud ar Azure (duomenų tvarkytojams) saugoti ir apdoroti. DPA privaloma net tada, kai cloud tiekėjas yra ES ribose, tačiau ypač svarbi, kai serveriai yra už ES (JAV, Singapūras ir kt.). Kada DPA nereikalinga: kai cloud paslaugos naudojamos tik vidiniam apdorojimui (pvz., tik darbuotojų el. paštas), kai naudojamos viešai prieinamos paslaugos. Svarbus niuansas: didieji cloud tiekėjai (AWS, Google, Azure, Microsoft) paprastai turi standartizuotas DPA sąlygas savo paslaugų sutartyse — jos paprastai pateikiamos kaip priedas arba atskiras dokumentas portale. Problema ta, kad standartinės DPA sąlygos gali neatitikti specifinių jūsų verslo reikalavimų.

BDAR 28 str. 3 dalis numato 8 privalomąsias DPA sąlygas, kurios privalo būti kiekvienoje sutartyje: (1) Tvarkymas tik pagal valdytojo nurodymus — tvarkytojas negali naudoti duomenų savo tikslais; (2) Konfidencialumas — tvarkytojo personalas privalo būti įsipareigojęs konfidencialumui; (3) Saugumo priemonės pagal BDAR 32 str. — techninės ir organizacinės priemonės; (4) Subtvarkytojų valdymas — sąlygos dėl išankstinio sutikimo ir vienodų prievolių perdavimo; (5) Duomenų subjektų teisių įgyvendinimas — tvarkytojas padeda valdytojui atsakyti į teisių prašymus; (6) Pagalba valdytojui dėl saugumo ir pažeidimų pranešimų; (7) Duomenų grąžinimas ar sunaikinimas pasibaigus paslaugoms; (8) Auditų galimybė — valdytojas turi teisę tikrinti tvarkytoją arba pasitelkti auditorių. AWS, Google ir Azure DPA paprastai apima visas šias sąlygas, tačiau reikia patikrinti, ar konkrečios paslaugos (pvz., analitikos ar ML paslaugos) patenka į DPA apimtį.

Subtvarkytojų klausimas — vienas sudėtingiausių cloud DPA aspektų. BDAR 28 str. 2 d. reikalauja, kad tvarkytojas (pvz., AWS) prieš pasitelkdamas subtvarkytojus (pvz., trečiųjų šalių paslaugų teikėjus) gautų valdytojo išankstinį sutikimą. Praktikoje yra du modeliai: (1) Konkretus sutikimas — valdytojas turi patvirtinti kiekvieną subtvarkytojo pasikeitimą (nepatogu didelėms įmonėms); (2) Bendras išankstinis sutikimas — DPA numato, kad valdytojas sutinka su subtvarkytojų sąrašu, kuris gali keistis su pranešimu (pvz., 30 dienų). Didieji cloud tiekėjai dažniausiai naudoja antrąjį modelį ir viešai skelbia subtvarkytojų sąrašus. Valdytojo pareigos subtvarkytojų atžvilgiu: (a) patikrinti, ar tvarkytojas naudoja tik BDAR atitinkančius subtvarkytojus; (b) užtikrinti, kad subtvarkytojams perduotos tos pačios DPA sąlygos; (c) stebėti subtvarkytojų sąrašo pokyčius. Jei subtvarkytojų sąrašas keičiasi ir jūs nesutinkate, teoriškai galite nutraukti paslaugos sutartį — tai derybų svertis.

Duomenų perdavimas į ES nepriklausančias šalis (JAV, Azija) reikalauja papildomų apsaugos mechanizmų pagal BDAR V skyrių. Po 2020 m. „Schrems II" sprendimo, kuriame ES Teisingumo Teismas panaikino Privacy Shield, pagrindiniai mechanizmai: (1) Standartinės sutarčių sąlygos (SCC) — 2021 m. Komisija priėmė naujus SCC šablonus, kurie privalo būti naudojami ES-JAV duomenų perdavimui. AWS, Google ir Azure DPA paprastai įtraukia SCC kaip priedą; (2) ES-JAV duomenų privatumo sistema (Data Privacy Framework, DPF) — nuo 2023 m. veikia nauja ES-JAV duomenų perdavimo sistema, kuri leidžia duomenis perduoti sertifikuotoms JAV įmonėms; didieji cloud tiekėjai (AWS, Google, Microsoft) yra sertifikuoti; (3) Standartiniai sutarties sąlygai naudojimas reikalauja papildomo vertinimo (Transfer Impact Assessment, TIA) — įvertinimo, ar trečiosios šalies teisinė sistema netrukdo SCC apsaugai. Praktinis patarimas: AWS, Google Cloud ir Azure DPA jau integruoja SCC ar DPF — patikrinkite, ar jūsų sutarties versija yra atnaujinta po 2021 m.

BDAR 32 str. reikalauja, kad tiek valdytojas, tiek tvarkytojas įgyvendintų tinkamas technines ir organizacines priemones duomenų saugumui užtikrinti. DPA kontekste tai reiškia, kad cloud tiekėjas privalo dokumentuoti savo saugumo priemones. Standartinės cloud tiekėjų saugumo priemonės, kurias reikia patikrinti DPA: (1) Duomenų šifravimas — tiek saugojimo, tiek perdavimo metu (AES-256 ar lygiavertis); (2) Prieigos valdymas — daugiafaktorinė autentifikacija, privilegijuotos prieigos valdymas; (3) Incidentų aptikimo sistemos — SIEM, anomalijų aptikimas; (4) Atsarginių kopijų tvarkymasis — RTO ir RPO rodikliai; (5) Fizinė saugumo kontrolė — duomenų centrų sertifikatai (ISO 27001, SOC 2). AWS turi „AWS Data Processing Addendum", Google — „Google Cloud Data Processing Addendum", Microsoft Azure — „Microsoft Data Protection Addendum" — visi jie pasiekiami viešai ir gana išsamiai. Svarbu suprasti, kad cloud modelis veikia pagal „bendros atsakomybės" principą — cloud tiekėjas atsako už infrastruktūros saugumą, o jūs — už aplikacijų ir duomenų konfigūraciją.

BDAR 28 str. 3 d. h punktas numato valdytojo teisę atlikti auditus arba pasitelkti auditorių — tai teoriškai reiškia, kad galite audituoti AWS ar Google. Praktikoje didieji tiekėjai vietoje individualių auditų teikia nepriklausomų trečiųjų šalių auditų sertifikatus (ISO 27001, SOC 2 Type II, BSI C5). Šie sertifikatai pripažįstami kaip lygiavertis audito mechanizmas. DPA turėtų aiškiai numatyti audito mechanizmą: arba individualaus audito teisė (su išlaidų paskirstymu), arba pripažinimas trečiųjų šalių sertifikatų. Pažeidimų pranešimas: BDAR 33 str. numato, kad valdytojas turi pranešti VDAI apie duomenų pažeidimą per 72 valandas. Cloud DPA turi apibrėžti: (a) per kiek valandų tvarkytojas informuoja valdytoją (dažniausiai 24-48 val.); (b) kokią informaciją tvarkytojas suteikia; (c) pranešimų kanalą ir kontaktinius asmenis. AWS, Google ir Azure DPA numato pranešimo procedūras, tačiau reikia patikrinti, ar jos atitinka 72 val. terminą su laiku pranešimui valdytojui. Praktinis patarimas: išbandykite pažeidimų pranešimų procesą simuliacine pratybomis — tai reikalauja BDAR 5 str. 2 d. atskaitomybės principas.