Twój nowy dostawca SaaS właśnie wysłał umowę powierzenia przetwarzania danych. A może klient prosi Cię o podpisanie takiej umowy, zanim udostępni dane swoich klientów. Tak czy inaczej, ktoś potrzebuje podpisu na DPA, i to szybko.
Nie musisz drukować. Oto jak podpisać DPA online, pozostając zgodnym z RODO.
Czym jest umowa powierzenia przetwarzania danych?
DPA -- Data Processing Agreement, czyli umowa powierzenia przetwarzania danych -- to prawnie wiążąca umowa między administratorem danych a podmiotem przetwarzającym. Prościej mówiąc: to umowa między firmą zbierającą dane osobowe (administrator) a każdą stroną trzecią, która przetwarza te dane w jej imieniu (podmiot przetwarzający).
Na mocy RODO DPA jest obowiązkowe. Artykuł 28 wymaga, aby za każdym razem, gdy dane osobowe są przetwarzane przez stronę trzecią, istniała pisemna umowa obejmująca:
- Jakie dane są przetwarzane
- Dlaczego są przetwarzane (cel)
- Jak długo potrwa przetwarzanie
- Jakie środki bezpieczeństwa zostały wdrożone
- Co się dzieje po zakończeniu umowy (usunięcie lub zwrot danych)
- Podmioty podprzetwarzające -- dodatkowe strony trzecie
Jeśli prowadzisz firmę w UE, pracujesz z klientami z UE lub przetwarzasz dane mieszkańców UE, potrzebujesz DPA z każdym dostawcą i usługodawcą mającym kontakt z danymi osobowymi.
Dlaczego każda firma musi podpisywać DPA
To nie jest opcjonalne. Oto co jest stawką:
Kary RODO. Brak DPA, gdy powinno istnieć, może skutkować karami do 10 milionów euro lub 2% rocznego globalnego obrotu. Organy nadzoru faktycznie nakładały kary za brakujące DPA.
Wymagania klientów. Coraz częściej klienci korporacyjni nie współpracują z dostawcami, którzy nie mogą przedstawić podpisanego DPA.
Odpowiedzialność przy naruszeniu danych. Bez DPA linie odpowiedzialności podczas naruszenia stają się niejasne.
Zaufanie. Posiadanie DPA w porządku sygnalizuje, że traktujesz ochronę danych poważnie.
Jak podpisać DPA online z CanUSign
Większość DPA przychodzi jako dokumenty PDF. Oto jak podpisać jedno elektronicznie w około minutę.
Krok 1: Uważnie przeczytaj DPA
Przed podpisaniem czegokolwiek przeczytaj DPA. Zwróć uwagę na:
- Zakres przetwarzania danych -- czy dokładnie opisuje, co podmiot przetwarzający zrobi z danymi?
- Podmioty podprzetwarzające -- czy są wymienione? Czy istnieje procedura powiadamiania o dodaniu nowych?
- Środki bezpieczeństwa -- czy są odpowiednie do wrażliwości danych?
- Terminy powiadamiania o naruszeniach -- RODO wymaga powiadomienia w ciągu 72 godzin
- Klauzule rozwiązania -- co dzieje się z danymi po zakończeniu współpracy?
Krok 2: Prześlij DPA w PDF
Wejdź na canusign.com/pl/create/upload i prześlij dokument DPA. Działa z każdym plikiem PDF.
Krok 3: Dodaj podpisy
Umieść swój podpis we właściwym polu. Jeśli DPA wymaga podpisów wielu stron, możesz dodać pola podpisu dla każdej strony i udostępnić link do podpisania.
Krok 4: Wyślij do kontrasygowania
Udostępnij link dokumentu drugiej stronie. Mogą go otworzyć w przeglądarce, przejrzeć dokument i dodać podpis bez instalowania czegokolwiek.
Krok 5: Pobierz podpisane DPA
Gdy wszystkie strony podpiszą, pobierz w pełni wykonany PDF. Każdy podpis zawiera znacznik czasu i ścieżkę audytu -- dokładnie taka dokumentacja jest potrzebna do zgodności z RODO.
Łączny koszt: €1 za dokument. Bez abonamentu.
Czy podpis elektroniczny jest ważny dla DPA?
Tak. RODO wymaga, aby DPA były "na piśmie, w tym w formie elektronicznej" (art. 28 ust. 9). Podpisy elektroniczne są wyraźnie dopuszczone.
Na mocy rozporządzenia eIDAS zwykły podpis elektroniczny jest prawnie uznany i wystarczający dla DPA. Nie potrzebujesz kwalifikowanego podpisu elektronicznego, chyba że szczególne okoliczności tego wymagają.
Kluczowe wymaganie to to, że podpis musi wykazywać jasny zamiar podpisania i musi istnieć wiarygodny rejestr kto i kiedy podpisał. Ścieżka audytu CanUSign spełnia ten wymóg.
Ścieżka audytu: dlaczego ma znaczenie dla zgodności
Gdy organ ochrony danych puka do drzwi, "podpisaliśmy to" nie wystarczy. Musisz to udowodnić.
Ścieżka audytu rejestruje:
- Kto podpisał dokument (imię, email)
- Kiedy podpisał (dokładna data i godzina)
- Skąd (adres IP)
- Co podpisał (dokument jest blokowany po podpisaniu)
To jest szczególnie cenne dla DPA, ponieważ organy nadzoru mogą poprosić o udowodnienie, że miałeś ważną umowę przed rozpoczęciem przetwarzania.
Podpisywanie DPA przez wiele stron
DPA często dotyczą więcej niż dwóch stron. Typowe scenariusze:
- Administrator + Podmiot przetwarzający -- standardowa konfiguracja
- Administrator + Podmiot przetwarzający + Podmioty podprzetwarzające
- Wielu administratorów -- uzgodnienia współadministratorów na mocy art. 26 RODO
Z CanUSign możesz ustawić pola podpisu dla każdej strony. Wyślij link do podpisania wszystkim zaangażowanym.
Wskazówki dotyczące zarządzania DPA
Prowadź rejestr. Utrzymuj arkusz kalkulacyjny wszystkich DPA, z kim są, kiedy zostały podpisane i kiedy wygasają.
Ustal daty przeglądów. DPA powinny być okresowo przeglądane.
Przechowuj podpisane kopie bezpiecznie.
Używaj standardowego szablonu. Jeśli jesteś podmiotem przetwarzającym podpisującym DPA z wieloma klientami, standardowy szablon oszczędza czas.
Najczęściej zadawane pytania
Czy RODO wymaga podpisanego DPA?
Tak. Artykuł 28 RODO wymaga wiążącej pisemnej umowy między administratorami a podmiotami przetwarzającymi.
Czy mogę podpisać DPA na telefonie?
Tak. CanUSign działa w każdej przeglądarce mobilnej.
Ile kosztuje podpisanie DPA online?
CanUSign kosztuje €1 za dokument. Bez abonamentu. Płacisz tylko gdy musisz podpisać.
A co jeśli druga strona nie ma CanUSign?
Nie potrzebuje. Gdy udostępnisz link do podpisania, druga strona otwiera go w przeglądarce i podpisuje.
Podpisz swoje DPA już dziś
Umowy powierzenia przetwarzania danych są nienegocjowalne na mocy RODO. Nie pozwól, aby proces podpisywania spowalniał onboarding dostawców czy relacje z klientami. Prześlij DPA do CanUSign, zbierz wszystkie podpisy cyfrowo i zachowaj ścieżkę audytu gotową na RODO.
Jedno euro. Pełna zgodność. Bez drukarki.