Дякую Тарасу за професійну та результативну допомогу у розблокуванні банківського рахунку в ЄС. Ситуація була непростою та вимагала чіткого розуміння європейських банківських процедур, однак юрист грамотно вибудував стратегію, підготував необхідні звернення та довів справу до успішного результату. Рекомендую)
Юрист
Експерт у сфері міжнародного корпоративного, ІТ та крипто-права. Має багаторічний досвід у відкритті та супроводі бізнесу в США, країнах ЄС, ЛатАм та на Близькому Сході. Спеціалізується на корпоративному структуруванні, комплаєнсі, KYC/AML, IP, GDPR та регуляції крипто і fintech проєктів.
Data Processing Agreement (DPA) для GDPR
DPA (Data Processing Agreement) — не “юридичний аксесуар” до договору з підрядником. Це документ, який робить обробку персональних даних керованою: хто кому що доручив, які дані обробляються, як вони захищаються, кому передаються, як повертаються/видаляються і хто відповідає, якщо щось пішло не так.
GDPR вимагає, щоб між controller і processor був договір (або інший юридичний акт) із чітко визначеними умовами обробки та контролем ланцюга субпідрядників. Це не “добра практика”, це базова гігієна комплаєнсу.
DPA простими словами: хто з ким і про що?
У GDPR дві ключові ролі:
- Controller (володілець/той, хто визначає цілі та засоби) — вирішує “навіщо” і “як” обробляються дані.
- Processor (обробник) — обробляє дані від імені controller і лише за документованими інструкціями .
DPA потрібен тоді, коли Ви як controller залучаєте підрядника, який має доступ до персональних даних: CRM, кол-центр, email-маркетинг, бухгалтерія, HR-сервіси, хостинг, аналітика, служба підтримки, dev-команда тощо.
Коли DPA потрібен майже завжди (і коли — ні)?
DPA майже точно потрібен, якщо:
- підрядник має доступ до Вашої клієнтської/користувацької бази;
- підрядник хостить сервіси/бекенд/логи;
- підрядник робить підтримку й бачить профілі/історію звернень;
- підрядник робить розсилки/таргетинг/аналітику поведінки;
- підрядник обробляє дані співробітників (HR, payroll, рекрутинг).
DPA може не бути потрібен, якщо:
- підрядник є окремим controller, бо сам визначає цілі/засоби обробки;
- у Вас модель controller-to-controller (там інша логіка зобов’язань і відповідальності).
Найчастіша проблема — неправильна кваліфікація ролей. Один абзац “processor/controller” у договорі не лікує фактичну реальність.
Обов’язкові умови DPA: що має бути всередині (чекліст)?
Мінімальний “must-have” набір (по суті вимог ст. 28 GDPR):
- Предмет і межі обробки: що обробляється, для яких сервісів, у яких системах.
- Строк, характер і цілі обробки.
- Категорії даних і категорії суб’єктів.
- Документовані інструкції controller (як видаються, хто затверджує).
- Технічні й організаційні заходи безпеки (TOMs) (логіка ст. 32 GDPR).
- Субпроцесори: порядок залучення, реєстр, повідомлення про зміни, механізм заперечень, “flow-down” зобов’язань.
- Допомога controller: запити суб’єктів (DSR), DPIA, взаємодія з регулятором, інциденти/витоки.
- Повернення/видалення даних після завершення послуг (включно з політикою щодо бекапів).
- Аудит/інспекції та надання інформації для демонстрації комплаєнсу.
- Конфіденційність персоналу processor (NDA, доступ за ролями, навчання).
Також буде корисно: Відкриття компанії в Європі
Таблиця-шпаргалка: структура DPA “без істерики”
| Блок DPA | Що фіксуємо? | Навіщо це Вам? |
| Опис processing | предмет/цілі/тривалість/системи | прибирає “розмитість” і спір про межі |
| Дані та суб’єкти | типи даних, категорії осіб | правильні TOMs, DPIA, трансфери |
| Інструкції | як видаються, хто затверджує, SLA | доказ “documented instructions” |
| Безпека (TOMs) | шифрування, доступ, логування, резерви, SDLC | зменшує ризик інцидентів і претензій |
| Субпроцесори | список + оновлення + право заперечити | контроль ланцюга постачання |
| DSR/брічи/DPIA | строки, канали, відповідальні | щоб Ви не “горіли” у дедлайнах регулятора |
| Аудит | формат (SOC2/ISO/онлайн), частота, NDA | баланс контролю й реалістичності |
| Termination | delete/return, бекапи, підтвердження | “чистий вихід” без хвостів |
Субпроцесори: де компанії найчастіше програють?
Майже кожен processor має ланцюг субпроцесорів (хмари, логування, саппорт, аналітика). Практичний мінімум, який має бути в DPA:
- Реєстр субпроцесорів (Subprocessor List);
- Процедура повідомлення про зміни (Change Notice);
- Механізм заперечення (Objection workflow) і що робимо далі;
- Flow-down: ті самі вимоги безпеки/конфіденційності “вниз по ланцюгу”.
Коротко: не контролюєте субпроцесорів — не контролюєте ризик.
А якщо є міжнародні передачі? (SCC і “одна архітектура”)
Якщо дані виходять за межі ЄЕЗ/UK (або в ланцюгу є non-EEA), одного DPA може бути недостатньо — потрібен механізм трансферу (часто SCC) та узгоджений набір додатків/заходів.
Здоровий підхід: не плодити документи “для галочки”, а зібрати одну логічну конструкцію: основний договір + DPA/Annex + трансферні умови (за потреби).
Типові помилки (і чому вони дорожчі за юриста)
- “Універсальний DPA на 2 сторінки” без опису реальної обробки.
- TOMs як маркетинг (“ми дуже безпечні”), без конкретики.
- Немає механіки субпроцесорів і повідомлень про зміни.
- Аудит: або “заборонено”, або “приходьте щотижня” (обидва варіанти погані).
- Termination без delete/return і без логіки по бекапах.
- Немає SLA по DSR/інцидентах — і потім винні Ви, бо строки Ваші.
Як ми зазвичай робимо DPA “під ключ” (процес)?
- Кваліфікуємо ролі: controller/processor/joint controllers.
- Описуємо processing (Annex): системи, потоки, категорії даних, доступи.
- Фіксуємо TOMs під сервіс і ризик-профіль, а не “копіпаст”.
- Субпроцесори: реєстр + governance + flow-down.
- Трансфери: SCC/додаткові заходи — якщо потрібно.
- Переговори з вендором: приводимо DPA до реалістичного, але захисного стандарту.
5 питань “так/ні” для самоперевірки
- У договорі з підрядником описані предмет/цілі/строк обробки та типи даних?
- Є TOMs/Annex, який відповідає Вашому сервісу, а не шаблону?
- Є реєстр субпроцесорів і процедура повідомлення/заперечень?
- Прописані строки й порядок щодо DSR/інцидентів/DPIA?
- Є “exit plan”: delete/return + бекапи + підтвердження?
Якщо хоча б на два питання відповідь “ні” — Ваш DPA, ймовірно, декоративний.
Що ми можемо зробити для клієнта (коротко, по суті)?
- Підготовка DPA (ст. 28) з додатками під конкретний сервіс.
- Редлайн DPA вендора + матриця ризиків (що критично, що торгується).
- Governance субпроцесорів і трансферна частина (якщо є non-EEA).
- Пакет для due diligence: опис TOMs, відповіді партнерам/клієнтам, аудит-логіка.
DPA — як парасоля: коли вона у Вас є, дощ здається дрібницею; коли її нема — раптом з’являється регулятор і з’ясовується, що промокли Ви, а винен чомусь підрядник.
Розрахуйте вартість послуг
1 питання
Вам потрібна консультація по GDPR?
Так
Ні
2 питання
Вас цікавить розробка для компанії Data Processing Agreement?
Так
Ні
3 питання
Вам потрібен повний фінтех-комплаєнс для вашого бізнесу?
Так
Ні
Вам також може знадобитися:
Статті по темі:
20%
знижка
Якщо ми не
передзвонимо
протягом дня
Консультація
передзвонимо
протягом дня
Юридична компанія
Залиште заявку на юридичну допомогу прямо зараз:
9+ років на ринку
70+ фахівців практиків
Фіксована ціна
Онлайн / офлайн консультація
SCC GDPR
Data Processing Agreement (DPA) для GDPR
Інвестиційний договір у сфері криптовалют
KYC верифікація
Інвестування в криптовалюту – Юридичний супровід
AML перевірка
Впровадження Travel Rule систем у Європі
Отримання ліцензії MiCA для CASP в ЄС під ключ
Юридична перевірка транзакції на AML/CTF
Отримання CASP в Австрії
Відкриття крипто-компанії (CASP) в Польщі
Бухгалтерський облік криптовалюти та токенів в Україні
Токенізація нерухомості
Отримання ліцензії EMI на Мальті
Отримання AEMI ліцензії в Нідерландах
Юридичний супровід розблокування криптогаманців
Зареєструвати компанію в Англії
Зареєструвати компанію в Гонконгу
Ліцензія на букмекерський пункт
Продовження гральних ліцензій в Україні
Анулювання гральних ліцензій
Юридичний супровід перевірки безпеки криптовалютного гаманця
Юридична перевірка криптогаманця
Аудит криптобіржі або криптотрейдера
Вибір між MetaTrader 4 (MT4) або MetaTrader 5 (MT5)
Підключення платформи MetaTrader
Придбання готової компанії з МТ4
Купівля готової компанії з МТ5
Як отримати ліцензію MT4/MT5 Whitelabel
Скільки коштує ліцензія MT4?
Ліцензія на казино у мережі Інтернет
ТОКЕНІЗАЦІЯ
SPI ліцензія в Чехії
Ліцензія на покер в мережі інтернет
Ліцензія на гральний стіл
Отримання SPI в Польщі
Купівля готової компанії в Сінгапурі
Ліцензія на гральне обладнання
Отримання ліцензії AEMI в Литві
Оформлення токенізації нерухомості та інших активів в Україні та за кордоном
Ліцензія на зали гральних автоматів
ЛІЦЕНЗІЯ ДЛЯ ПЛАТІЖНОЇ СИСТЕМИ НА КІПРІ
Правове порівняння ліцензій на електронні гроші EMI/AEMI та ліцензії платіжної установи PI
Відкриття брокерського рахунку в Exante
СТВОРЕННЯ ХОЛДИНГОВОЇ КОМПАНІЇ НА КІПРІ
Система оподаткування для українців у Хорватії
Система оподаткування українців у Словенії
Відкриття бізнесу в Словаччині
Система оподаткування українців у Словаччині
Отримання криптоліцензії в Болгарії
Система оподаткування українців в Австрії
Особливості оподаткування українців в Латвії
GDPR compliance
Legal Opinion Letter — Юридичний висновок
Оподаткування українців в Естонії
Реєстрація спулки з надання р2р послуг в Польщі
Система оподаткування для українців в Канаді
Ліцензування постачальників послуг віртуальних валют в Іспанії
Відкриття банківського рахунку в Туреччині для юридичної особи
Система оподаткування для українців в Італії
Отримання гемблінг ліцензії Кюрасао
Система оподаткування для українців в Ірландії
EMI ліцензія
Відкриття рахунку в платіжній системі
Відкриття рахунку в Payoneer для юридичних осіб
Оподаткування українців в Німеччині
Купівля готової компанії з EMI ліцензією
Отримання ліцензії на казино в Україні
Юристи у сфері блокчейн
Оподаткування українців у Британії
Оподаткування для українців в Чехії
Ліцензування криптовалютної діяльності у Франції
Юридичний супровід купівлі готової компанії з Форекс ліцензією
Система оподаткування для українців в Іспанії
Релокація бізнесу на територію Європейського Союзу
Релокація бізнесу в Європу
Реєстрація ТОВ (BV) в Нідерландах
Реєстрація підприємця в Нідерландах
Купити компанію з криптоліцензією
Купити готову компанію з оборотами в Україні
Купити готову компанію з брокерським рахунком в Україні
Купити готову компанію в Естонії
Купити готову компанію у Польщі
Купити готову компанію в ОАЕ (Дубай)
Купити готову компанію в Гонконгу з рахунком
Купити готову брокерську компанію з ліцензією в Україні
Реєстрація ТОВ в Болгарії
Самозайнята особа (ІП) на Мальті
Купівля Готової Компанії з MetaTrader 4
Реєстрація ФОП (ЕТ) в Болгарії
Зареєструвати компанію у США
Реєстрація компанії у Великій Британії
Готова компанія з ліцензією на криптовалюту
Система оподаткування на Мальті
Реєстрація компанії на Мальті
Оптимізація податкового навантаження у Великобританії
Як розблокувати грошовий рахунок на біржах та інших фінансових установах?
Розблокування криптогаманців на біржах та інших фінансових установах
Консультація з оподаткування в Європі
Реєстрація компанії на Кіпрі
Реєстрація ІП у Великобританії
Відкриття індивідуального підприємства у Чехії
Реєстрація ТОВ у Великобританії
Реєстрація індивідуального підприємця у Латвії
Реєстрація компанії в Латвії
Відкриття індивідуального підприємства в Німеччині
Порівняння MetaTrader 4 та MetaTrader 5
Відкриття рахунку в платіжних системах
FOREX юрисдикції
Розірвання ГІГ-контракту
РЕЄСТРАЦІЯ КОМПАНІЇ (ТОВ) В ЧЕХІЇ
Реєстрація ІП для IT в Європі
Система оподаткування в Австрії
Система оподаткування на Кіпрі
Послуги MLRO – спеціаліста
Відкриття GmbH в Німеччині
Реєстрація індивідуального підприємця в Австрії
Отримання форекс-ліцензії
Ліцензія на торгівлю криптовалютами
Реєстрація офшорної компанії
Аудит смарт контрактів
Реєстрація компанії (ТОВ) в Австрії
РЕЄСТРАЦІЯ КОМПАНІЇ (ТОВ) В ЕСТОНІЇ
ОТРИМАННЯ ГЕМБЛІНГ ЛІЦЕНЗІЇ В АНЖУАНІ
РОЗРОБКА AML ПОЛІТИКИ
РЕЄСТРАЦІЯ КРИПТО-КОМПАНІЇ В КОСТА-РІЦІ
Ліцензія на гральний бізнес в Україні
РЕЄСТРАЦІЯ ІНДИВІДУАЛЬНОГО ПІДПРИЄМЦЯ В ІСПАНІЇ
ОТРИМАННЯ КРИПТОЛІЦЕНЗІЇ В КИРГИЗСТАНІ
ОТРИМАННЯ КРИПТОЛІЦЕНЗІЇ В САЛЬВАДОРІ
Отримання гемблінг ліцензії у Великій Британії
РЕЄСТРАЦІЯ БІЗНЕСУ В КОСТА-РІЦІ
ОТРИМАННЯ ЛІЦЕНЗІЇ ЕМІ В КАЗАХСТАНІ
ОТРИМАННЯ КРИПТОЛІЦЕНЗІЇ В ІТАЛІЇ
ОФОРМЛЕННЯ ГІГ-КОНТРАКТУ
ОТРИМАННЯ КРИПТОЛІЦЕНЗІЇ В ГІБРАЛТАРІ
СМАРТ-КОНТРАКТИ: МАЙБУТНЄ УГОД НА ОСНОВІ БЛОКЧЕЙН-ТЕХНОЛОГІЙ ТА ЇХ ЮРИДИЧНИЙ СУПРОВІД
ОТРИМАННЯ КРИПТОЛІЦЕНЗІЇ В КАЗАХСТАНІ
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЇ У ШВЕЙЦАРІЇ
ЮРИДИЧНИЙ СУПРОВІД РОЗБЛОКУВАННЯ КРИПТОАКТИВІВ
ЮРИДИЧНІ ПОСЛУГИ ПО СУПРОВОДУ WEB 3.0
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЇ В СІНГАПУРІ
Відкриття банківського рахунку для крипто бізнесу
ВІДКРИТТЯ БАНКІВСЬКОГО РАХУНКУ ДЛЯ ГЕМБЛІНГУ
Відкриття банківських рахунків для High-Risk бізнесу
РЕЄСТРАЦІЯ КОМПАНІЇ У ГОНКОНГУ
Гральна ліцензія (гемблінг) на Мальті
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЇ В СЛОВАЧЧИНІ
ОТРИМАННЯ ПЛАТІЖНОЇ ЛІЦЕНЗІЇ EMI У ЛИТВІ
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЇ НА КЮРАСАО
Отримання платіжної ліцензії SPI
Отримання платіжної ліцензії API (Application Programming Interface)
Підключення до MetaTrader 5
ОТРИМАННЯ КРИПТОЛІЦЕНЗІЇ В ГОНКОНЗІ
Отримання платіжної ліцензії на Белізі
ОТРИМАННЯ SVF ЛІЦЕНЗІЇ В СІНГАПУРІ
ОТРИМАННЯ ФОРЕКС ЛІЦЕНЗІЇ ВАНУАТУ
ОТРИМАННЯ АЕМІ ЛІЦЕНЗІЇ В ВЕЛИКОБРИТАНІЇ
ОТРИМАННЯ ЛІЦЕНЗІЇ MSB КАНАДА
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЇ В ЛИТВІ
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЇ У ПОЛЬЩІ
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЇ У ЧЕХІЇ
РЕЄСТРАЦІЯ БАНКІВСЬКОГО РАХУНКУ В ГОНКОНГУ
СУПРОВІД ICO
Як підключити платформу metatrader?
РЕЄСТРАЦІЯ БАНКУ НА КІПРІ
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЙ В ЄС
ОТРИМАННЯ ЛІЦЕНЗІЇ НА КАЗИНО
ОТРИМАННЯ ФОРЕКС-ЛІЦЕНЗІЙ
ОТРИМАННЯ ЛІЦЕНЗІЇ НА БЕТТИНГ
ОТРИМАННЯ ЛІЦЕНЗІЇ MSO В ГОНКОНЗІ
Отримання криптоліцензії в Естонії
ОТРИМАННЯ ПОКЕР-ЛІЦЕНЗІЇ
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЇ В ОАЕ
ОТРИМАННЯ ЛІЦЕНЗІЇ EMI , AEMI
ОТРИМАННЯ КРИПТО ЛІЦЕНЗІЇ У ГРУЗІЇ
ОТРИМАННЯ ЛІЦЕНЗІЇ API, PI, PSP
ОТРИМАННЯ ЛІЦЕНЗІЇ НА ЛОТЕРЕЇ НА КЮРАСАО
ОТРИМАННЯ ЛІЦЕНЗІЇ НА ЛОТЕРЕЇ
ПРОДАЄТЬСЯ КІПРСЬКА ІНВЕСТИЦІЙНА ФІРМА STP БРОКЕР
ГОТОВІ КОМПАНІЇ З БРОКЕРСЬКИМИ ЛІЦЕНЗІЯМИ
ОТРИМАННЯ ЛІЦЕНЗІІ EMI В ЄВРОПІ
РОЗРАХУНКИ КРИПТОВАЛЮТОЮ В УКРАЇНІ
Telegram
Viber
WhatsApp
Facebook
Instagram