Договір — це письмова домовленість сторін, яка встановлює обов’язкові правила: що саме робиться, у яких межах, на яких підставах, у які строки, як контролюється виконання та яка відповідальність настає при порушеннях. У сфері персональних даних такий підхід критичний: якщо умови не визначені чітко, ризики лягають на бізнес у вигляді претензій клієнтів, блокувань сервісів, інцидентів безпеки, штрафів і репутаційних втрат.
Що таке договір про обробку персональних даних
Договір про обробку персональних даних (DPA) — це угода, за якою одна сторона (зазвичай підрядник або сервіс) обробляє персональні дані за дорученням іншої сторони, виключно в визначених цілях і за погодженими правилами безпеки.
Найпоширеніший сценарій: компанія передає дані клієнтів або працівників зовнішньому постачальнику послуг, і цей постачальник отримує доступ до даних під час виконання робіт.
Кому потрібен DPA і в яких ситуаціях
Договір потрібен майже завжди, коли є зовнішній контрагент, який фактично “торкається” персональних даних:
• бухгалтерський супровід і зарплатні проєкти
• HR-аутсорсинг, рекрутинг, кадровий облік
• CRM, колтрекінг, call-центр, служба підтримки
• IT-розробка, техпідтримка, адміністрування серверів, хостинг
• маркетингові агентства (email/SMS-розсилки, таргет, аналітика)
• логістика та доставка, кур’єрські служби, склади
• платіжні провайдери, білінг, фінансові сервіси
• медичні/освітні/фінансові проєкти, де дані є підвищено чутливими
Чому “достатньо NDA” — це помилка
NDA захищає факт нерозголошення, але DPA вирішує інше:
• хто і в якій ролі обробляє дані
• які саме дані можна обробляти і для чого
• які технічні та організаційні заходи безпеки обов’язкові
• чи можна залучати субпідрядників
• що робити при інциденті (витік, доступ сторонніх, фішинг, злам)
• як виконуються права суб’єктів даних (доступ, видалення, виправлення)
• як і коли дані повертаються або знищуються
Ролі сторін: хто за що відповідає
У DPA важливо одразу визначити ролі (терміни можуть відрізнятися залежно від юрисдикції, але логіка одна):
• сторона, яка визначає цілі та засоби обробки (бізнес-власник процесу)
• сторона, яка обробляє дані за дорученням (підрядник/сервіс/оператор)
Неправильно визначені ролі ведуть до перекладання відповідальності “в нікуди”, коли при проблемі кожен каже: “це не ми”.
Обов’язкові умови договору, без яких він слабкий
1) Предмет, цілі та правова підстава
• навіщо передаються дані
• які бізнес-процеси покриваються договором
• на якій підставі дані обробляються (договір, законний інтерес, виконання зобов’язань тощо)
2) Категорії даних і суб’єктів
• які саме дані: ПІБ, контакти, адреси, IP, історія замовлень, фінансові дані, дані працівників тощо
• чи є чутливі категорії (медичні, біометрія тощо)
• хто суб’єкти: клієнти, кандидати, працівники, підрядники
3) Операції обробки та межі
• збір, зберігання, систематизація, передача, видалення
• заборона використання даних поза цілями договору
• заборона “змішування” баз або використання для інших проєктів
4) Строк обробки та життєвий цикл даних
• як довго дані зберігаються
• умови повернення/видалення після завершення договору
• порядок підтвердження знищення або передачі
5) Безпека: технічні та організаційні заходи
У договорі бажано фіксувати мінімальний стандарт безпеки, наприклад:
• контроль доступів (ролі, мінімальні права)
• журналювання доступів і змін
• резервні копії та відновлення
• шифрування (де це доречно)
• вимоги до паролів і багатофакторної автентифікації
• фізична безпека серверів/робочих місць
• навчання персоналу і політики доступу
6) Субпідрядники (sub-processors)
• чи має право підрядник залучати інших виконавців
• порядок погодження субпідрядників
• відповідальність підрядника за їхні дії
• вимога укладати з ними аналогічні умови захисту даних
7) Інциденти та витоки: строки повідомлення і дії
• що вважається інцидентом
• у який строк підрядник повідомляє замовника
• який мінімальний зміст повідомлення (обсяг, причини, ризики, план реагування)
• обов’язок локалізувати інцидент і співпрацювати у розслідуванні
8) Запити суб’єктів даних
• хто і як обробляє запити на доступ/виправлення/видалення
• строки реакції і форма взаємодії
• обов’язок підрядника допомагати виконувати законні вимоги
9) Аудит і контроль
• право замовника перевіряти дотримання вимог (у розумних межах)
• формат аудиту: документи, політики, результати тестів, звіти
• порядок усунення порушень і строки
10) Відповідальність і обмеження
• межі відповідальності за порушення режиму даних
• компенсація збитків, штрафи, відшкодування витрат на реагування
• відповідальність за дії персоналу і субпідрядників
• порядок претензій і доказів
Практична таблиця: що має бути в договорі залежно від типу підрядника
| Підрядник/сервіс | Ризик | Що обов’язково зафіксувати |
|---|---|---|
| Маркетинг/розсилки | нецільове використання бази | цілі, заборона повторного використання, видалення після кампанії |
| IT/адміністрування | доступ до всіх систем | контроль доступів, журналювання, інциденти, аудит |
| HR/кадри | дані працівників | строк зберігання, доступи, конфіденційність, порядок передачі |
| Call-центр | записи розмов | строки зберігання, доступ, заборона копій, формат видалення |
| Хостинг/хмара | інфраструктура | субпідрядники, безпека, інциденти, резервування |
Типові помилки, через які DPA не захищає
• не визначені ролі та цілі обробки
• немає опису категорій даних і меж доступу
• відсутня процедура інцидентів або вона “формальна”
• не врегульовані субпідрядники
• не визначено, як видаляти/повертати дані після завершення робіт
• відповідальність або відсутня, або нереалістична й не застосовується
• договір не узгоджений з фактичними процесами (по факту дані обробляються ширше, ніж написано)
Етапи підготовки договору про обробку даних
-
Описати процес: які системи, які дані, хто має доступ.
-
Визначити ролі сторін і мету обробки.
-
Скласти перелік категорій даних і операцій обробки.
-
Узгодити мінімальні заходи безпеки та порядок інцидентів.
-
Прописати правила субпідрядників, аудитів і запитів суб’єктів.
-
Закріпити порядок завершення: повернення/видалення та підтвердження.
Вартість підготовки договору
Орієнтири для планування бюджету:
• аналіз процесів і ризиків обробки — від 5 000 грн
• розробка договору про обробку персональних даних (1 документ) — від 5 000 грн
• пакет документів (DPA + додатки: перелік даних, заходи безпеки, процедура інцидентів) — від 15 000 грн
FAQ
1) Чи потрібен DPA, якщо підрядник “просто має доступ” до CRM?
Так. Сам факт доступу означає можливість обробки. Потрібні межі доступу, цілі та вимоги безпеки.
2) Чи можна обмежитись пунктом про конфіденційність у основному договорі?
Для простих кейсів інколи так, але в більшості ситуацій потрібні окремі умови: інциденти, субпідрядники, видалення даних, аудит.
3) Хто відповідає за витік даних: замовник чи підрядник?
Залежить від ролей і причин інциденту. У договорі потрібно розділити відповідальність і закріпити обов’язок підрядника відповідати за своїх людей та субпідрядників.
4) Як прописати видалення даних, щоб це було реально?
Потрібні строки, перелік носіїв/систем, порядок видалення копій і підтвердження виконання (лист/акт).
5) Що робити, якщо підрядник хоче залучати інших виконавців?
Умови субпідрядників мають бути в договорі: погодження, відповідальність, вимога аналогічного рівня безпеки.
6) Чи обов’язково вказувати конкретні заходи безпеки?
Бажано. Чим конкретніше вимоги, тим легше контролювати і доводити порушення.
7) Як працювати з міжнародними контрагентами та даними в хмарі?
Потрібно узгодити ланцюг обробки, субпідрядників, країни зберігання/доступу, інциденти та аудит — у межах реальної архітектури сервісу.
8) Чи можна укласти один DPA на всі послуги?
Так, але тоді потрібні додатки/специфікації, які розділяють процеси, категорії даних і заходи безпеки по напрямах.