Эксперт в сфере международного корпоративного, IT и крипто-права. Имеет многолетний опыт в открытии и сопровождении бизнеса в США, странах ЕС, ЛатАм и на Ближнем Востоке. Специализируется на корпоративном структурировании, комплаенсе, KYC/AML, IP, GDPR, а также регулировании crypto и fintech проектов.
DPA (Data Processing Agreement) — не юридический аксессуар к договору с подрядчиком. Это документ, который делает обработку персональных данных управляемой: кто кому что поручил, какие данные обрабатываются, как они защищаются, кому передаются, возвращаются/удаляются и кто отвечает, если что-то пошло не так.
GDPR требует, чтобы между «controller» и «processor» был договор (или другой юридический акт) с четко определенными условиями обработки и контролем цепи субподрядчиков. Это не «хорошая практика», это базовая гигиена комплаенса.
DPA простыми словами: кто с кем и о чем?
У GDPR две ключевые роли:
Controller (владелец/тот, кто определяет цели и средства) — решает «зачем» и «как» обрабатываются данные.
Processor (обработчик) — обрабатывает данные от имени controller и только по документированным инструкциям.
DPA нужен тогда, когда Вы в качестве controller привлекаете подрядчика, который имеет доступ к персональным данным: CRM, колл-центр, email-маркетинг, бухгалтерия, HR-сервисы, хостинг, аналитика, служба поддержки, dev-команда и т.д.
Когда DPA нужен почти всегда (и когда нет)?
DPA почти точно требуется, если:
подрядчик имеет доступ к Вашей клиентской/пользовательской базе;
подрядчик хостит сервисы/бэкенд/логи;
подрядчик оказывает поддержку и видит профили/историю обращений;
подрядчик производит рассылки/таргетинг/аналитику поведения;
подрядчик обрабатывает данные сотрудников (HR, payroll, рекрутинг).
DPA может не потребоваться, если:
подрядчик является отдельным controller, потому что сам определяет цели/средства обработки;
у Вас модель controller-to-controller (там другая логика обязательств и ответственности).
Самая частая проблема — неправильная квалификация ролей. Один абзац «processor/controller» в договоре не лечит фактическую реальность.
Практически каждый процессор имеет цепь субпроцессоров (облака, логирование, саппорт, аналитика). Практический минимум, который должен быть в DPA:
Реестр субпроцессоров (Subprocessor List);
Процедура сообщения об изменениях (Change Notice);
Механизм отрицания (Objection workflow) и делаем дальше;
Flow-down: те же требования безопасности/конфиденциальности «вниз по цепи».
Коротко: не контролируете субпроцессоры — не контролируете риск.
А если есть международные передачи? (SCC и «одна архитектура»)
Если данные выходят за пределы ЕЭС/UK (или в цепи не EEA), одного DPA может быть недостаточно — нужен механизм трансфера (часто SCC) и согласованный набор приложений/мер.
Здоровый подход: не плодить документы «для галочки», а собрать одну логическую конструкцию: основной договор + DPA/Annex + трансферные условия (при необходимости).
Типичные ошибки (и почему они дороже юриста)
Универсальный DPA на 2 страницы без описания реальной обработки.
TOMs как маркетинг («мы очень безопасны»), без конкретики.
Нет механики субпроцессоров и уведомлений об изменениях.
Аудит: или «запрещено», или «приходите еженедельно» (оба варианта плохие).
Termination без delete/return и без логики по бекапам.
Нет SLA по DSR/инцидента — и потом виноваты Вы, потому что сроки Ваши.
Governance субпроцессоров и трансферная часть (если есть non-EEA).
Пакет для due diligence: описание TOMs, ответы партнерам/клиентам, аудит-логика.
DPA – как зонтик: когда она у Вас есть, дождь кажется мелочью; когда ее нет — вдруг появляется регулятор и выясняется, что вы промокли, а виноват почему подрядчик.
Рассчитайте стоимость услуг
1 вопрос
Вам нужна консультация по GDPR?
Да
Нет
2 вопрос
Вас интересует разработка для компании Data Processing Agreement?
Да
Нет
3 вопрос
Вам нужен полный финтех-комплаенс для вашего бизнеса?
Хочу поблагодарить Назара за эффективную и профессиональную помощь в разблокировании моего персонального счета в Trustee Plus. Как частный инвестор и криптотрейдер, я оказался в сложной ситуации из-за полной блокировки доступа к активам и невозможности осуществлять транзакции.
Назар подробно проанализировал ситуацию, четко объяснил правовые механизмы решения проблемы и взял на себя полное юридическое сопровождение. Благодаря его грамотным действиям, а также коммуникации с платформой, доступ к счету и криптоактивам был успешно восстановлен.
5/5
Благодарю Тараса за профессиональную и результативную помощь в разблокировании банковского счета в ЕС. Ситуация была непростой и требовала ясного понимания европейских банковских процедур, однако юрист грамотно выстроил стратегию, подготовил необходимые обращения и довел дело до успешного результата. Рекомендую)
Юридическая компания
Оставьте заявку на юридическую помощь прямо сейчас:
Мы работаем Понедельник – Пятница с 9:30 до 18:00. Если Вы оставили заявку после 18:00 в будние дни – мы свяжемся с Вами на следующий рабочий день начиная с 9:30.
Telegram
Viber
WhatsApp
Facebook
Instagram