Acorduri de prelucrare a datelor — Lista de verificare și ghid pentru RPD

Un acord de prelucrare a datelor este necesar ori de câte ori un operator angajează o persoană împuternicită pentru a prelucra date cu caracter personal în numele său. Distincția dintre operator și persoană împuternicită este crucială: un operator stabilește scopurile și mijloacele prelucrării, în timp ce o persoană împuternicită acționează doar pe baza instrucțiunilor operatorului. Relațiile frecvente cu persoane împuternicite care necesită un acord de prelucrare includ: furnizori de găzduire cloud, platforme de marketing prin e-mail, furnizori de servicii de salarizare, sisteme CRM, instrumente de analiză, companii de suport IT cu acces la date cu caracter personal și centre de apeluri externe. Nu orice relație cu un furnizor necesită un acord de prelucrare. Dacă o companie utilizează un serviciu în care nu sunt prelucrate date cu caracter personal (de exemplu, achiziționarea de consumabile de birou), nu este necesar niciun acord de prelucrare. De asemenea, dacă două părți determină independent scopurile prelucrării, ele sunt operatori asociați în temeiul Articolului 26 și au nevoie de un acord de operare asociată în locul unui acord de prelucrare. Pentru RPD externi, una dintre cele mai frecvente constatări de audit este acoperirea incompletă cu acorduri de prelucrare. Clienții au adesea 20-30 de relații cu persoane împuternicite, dar doar 10-15 acorduri de prelucrare încheiate. Un inventar sistematic al tuturor relațiilor cu furnizorii este primul pas esențial.

Articolul 28 alineatul (3) din RGPD specifică conținutul minim pe care trebuie să îl includă un acord de prelucrare a datelor. Fiecare acord trebuie să conțină: obiectul și durata prelucrării, natura și scopul prelucrării, tipurile de date cu caracter personal și categoriile de persoane vizate, precum și obligațiile și drepturile operatorului. Dincolo de aceste elemente de bază, acordul de prelucrare trebuie să stipuleze că persoana împuternicită: prelucrează datele numai pe baza instrucțiunilor documentate ale operatorului, se asigură că persoanele autorizate sunt supuse obligațiilor de confidențialitate, implementează măsuri tehnice și organizatorice adecvate (Articolul 32), angajează sub-persoane împuternicite numai cu autorizare prealabilă și obligații contractuale echivalente, asistă operatorul cu răspunsurile la cererile de exercitare a drepturilor, asistă cu notificarea încălcărilor de securitate și obligațiile privind evaluarea impactului, șterge sau returnează datele la sfârșitul contractului și pune la dispoziție toate informațiile necesare pentru a demonstra conformitatea, inclusiv permiterea auditurilor. Multe organizații utilizează acorduri de prelucrare tip furnizate de persoana împuternicită (de exemplu, AWS, Google, Microsoft). Deși aceste șabloane acoperă adesea clauzele obligatorii, ele pot conține prevederi nefavorabile operatorului — precum drepturi largi de sub-prelucrare, acces limitat la audit sau plafoane minime de răspundere. Revizuiți întotdeauna cu atenție acordurile de prelucrare furnizate de persoanele împuternicite.

Cea mai frecventă greșeală este lipsa unui acord de prelucrare pentru relațiile existente cu persoane împuternicite. Multe organizații au semnat contracte cu furnizori SaaS cu ani înainte de aplicarea RGPD și nu au adăugat niciodată un acord de prelucrare. Aceste lacune se numără printre cele mai ușoare constatări de audit pe care autoritățile de supraveghere le pot identifica. O altă problemă frecventă sunt acordurile de prelucrare depășite care nu reflectă activitățile actuale de prelucrare. Un acord de prelucrare semnat când o companie utiliza un serviciu pentru e-mail de bază ar putea să nu acopere cazul de utilizare extins care include acum automatizare de marketing, crearea de profiluri și transferuri transfrontaliere de date. Gestionarea sub-persoanelor împuternicite este frecvent neglijată. În temeiul Articolului 28 alineatul (2), operatorul trebuie să autorizeze sub-persoanele împuternicite — fie specific, fie general cu dreptul de a obiecta. Mulți furnizori mențin liste de sub-persoane împuternicite care se schimbă regulat (în special furnizorii mari de cloud). RPD ar trebui să se asigure că clienții au un proces de revizuire a modificărilor privind sub-persoanele împuternicite. În cele din urmă, prevederile de la sfârșitul contractului sunt adesea trecute cu vederea. Specifică acordul de prelucrare ștergerea sau returnarea datelor? În ce termen? În ce format? Aceste detalii devin critice la schimbarea furnizorilor sau la încheierea unei relații cu o persoană împuternicită.

Pentru RPD externi care gestionează 10-20 de clienți, fiecare cu 15-30 de relații cu persoane împuternicite, urmărirea manuală a acordurilor de prelucrare devine impracticabilă. Aceasta înseamnă potențial 200-600 de acorduri de prelucrare de monitorizat pentru date de expirare, modificări ale sub-persoanelor împuternicite și lacune de conformitate. O abordare sistematică începe cu un depozit central. Pentru fiecare client, mențineți o listă a tuturor relațiilor cu persoane împuternicite cu starea corespunzătoare a acordului de prelucrare: încheiat, lipsă, expirat sau în curs de revizuire. Asociați fiecare acord de prelucrare cu activitățile de prelucrare relevante din Registrul activităților de prelucrare — aceasta creează o imagine completă a conformității. Setați alerte de expirare pentru acordurile de prelucrare cu termen fix. Multe acorduri de prelucrare sunt legate de contractul de servicii de bază și se reînnoiesc automat, dar unele au termene fixe. Un acord de prelucrare expirat înseamnă prelucrare fără un aranjament juridic valid — o încălcare clară a RGPD. Standardizați lista de verificare pentru revizuirea acordurilor de prelucrare. În loc să citiți fiecare acord de la zero, verificați elementele obligatorii ale Articolului 28 alineatul (3), evaluați prevederile privind sub-persoanele împuternicite, verificați garanțiile pentru transferul de date (în special post-Schrems II) și confirmați condițiile de la sfârșitul contractului. Trustee.eu vă permite să urmăriți toate acestea per client cu indicatori de stare și memento-uri pentru termene.