Юридическая упаковка
DPA с субпроцессором: когда обязателен и что включить
Data Processing Agreement — не опциональное приложение к договору, а юридическое условие существования вашего бизнеса в части персональных данных. GDPR Art.28 требует письменного DPA с каждым процессором. 152-ФЗ требует договора поручения. Без них — штраф Tier 1 до €10 млн.
Содержание
- Что такое DPA и почему без него — штраф
- Контроллер, процессор, субпроцессор: цепочка ответственности
- С кем нужен DPA: полный список категорий
- Обязательные разделы DPA по GDPR Art.28
- DPA по 152-ФЗ: договор поручения
- Где взять DPA и что проверить
- Sub-processor management
- No training on customer data: критично для AI
- Типичные ошибки при работе с DPA
- Чек-лист: 8 пунктов для каждого DPA
1. Что такое DPA и почему без него — штраф
Data Processing Agreement (DPA) — договор между двумя сторонами, по которому одна сторона (оператор / контроллер) поручает другой (процессору) обработку персональных данных. Это не опция и не best practice: GDPR и 152-ФЗ делают его юридически обязательным.
GDPR Art.28 (ЕС / UK GDPR)
- Контроллер обязан работать только с процессорами, предоставляющими «достаточные гарантии».
- Каждая обработка данных процессором — только на основании письменного договора.
- Перечень обязательных условий установлен законом — нельзя опустить ни одно.
- Ответственность контроллера за выбор несоответствующего процессора — вне зависимости от вины.
- UK GDPR Art.28 — идентичные требования после Brexit.
152-ФЗ ст.6 ч.3 (Россия)
- Оператор вправе поручить обработку ПДн третьему лицу только на основании договора поручения.
- Договор должен содержать: перечень действий, цели, обязанность соблюдать конфиденциальность, меры защиты.
- Ответственность перед субъектом остаётся у оператора — не у обработчика.
- Согласия субъектов на передачу данные сохраняются у оператора, не переходят к обработчику.
Нарушение требований к договору с процессором относится к Tier 1 санкций GDPR — более низкий порог, чем за нарушения принципов обработки, но всё равно ощутимый:
GDPR Tier 1
€10 млн
или 2% от глобальной годовой выручки — что выше. За отсутствие DPA или несоответствие Art.28.
UK GDPR
£8.7 млн
или 2% оборота. ICO всё активнее проверяет цепочки процессоров при расследовании утечек.
152-ФЗ
до 700 К ₽
За передачу ПДн без договора поручения (ст.13.11 КоАП). Повторно — удвоенная сумма.
Регуляторы рассматривают отсутствие DPA не как техническую оплошность, а как системный провал в управлении данными. CNIL (Франция) и ICO в своих решениях 2024–2025 годов прямо указывали на отсутствие DPA с субпроцессорами как на отдельное нарушение при расследовании утечек. Подробнее о требованиях GDPR — на странице ЕС / GDPR.
2. Контроллер, процессор, субпроцессор: цепочка ответственности
Прежде чем разбираться с содержанием DPA, нужно понять, кто есть кто в цепочке обработки данных. Путаница в ролях — одна из самых частых причин неправильно оформленных или вовсе отсутствующих договоров.
Вы
Контроллер
Определяете цели и средства обработки данных своих пользователей
→
Ваш провайдер
Процессор
AWS, Hetzner, HubSpot — обрабатывают данные по вашему поручению
→
Провайдер провайдера
Субпроцессор
CDN Cloudflare для AWS, SMTP-провайдер Mailchimp, DataCenter хостинга
Контроллер (Controller)
- Решает: зачем и как обрабатываются данные.
- Несёт полную ответственность перед субъектами ПДн и регуляторами.
- Обязан выбирать только тех процессоров, которые дают «достаточные гарантии» (Art.28.1).
- При утечке у процессора — регулятор идёт к контроллеру.
Процессор (Processor)
- Обрабатывает данные только по инструкции контроллера.
- Не вправе использовать данные для собственных целей.
- При привлечении субпроцессора — обязан получить согласие контроллера.
- Несёт прямую ответственность перед регуляторами за нарушение своих обязательств по DPA.
Субпроцессор (Sub-processor)
- Нанят процессором для выполнения части задач.
- Договор субпроцессора должен содержать те же обязательства, что и основной DPA.
- Контроллер, как правило, не подписывает договор с субпроцессором напрямую.
- Но контроллер вправе возражать против конкретного субпроцессора.
Типичная коллизия: вы подписали DPA с вашим хостинг-провайдером (процессором). Провайдер использует стороннюю CDN для ускорения контента — это субпроцессор. Если провайдер не сообщил вам об этом и вы не дали согласие, провайдер нарушил ваш DPA, а вы — как контроллер — несёте риск перед регулятором за непроверенную цепочку обработки.
3. С кем нужен DPA: полный список категорий
Правило простое: с каждым, кто обрабатывает персональные данные ваших пользователей по вашему поручению. Это шире, чем многие думают. Вот основные категории с примерами:
| Категория | Примеры | Нужен DPA | Комментарий |
|---|---|---|---|
| Хостинг / Cloud | AWS, Hetzner, reg.ru, Selectel, Yandex Cloud | Да ✓ | Хранит данные пользователей. AWS DPA доступен в консоли; reg.ru/Hetzner — по запросу. |
| CRM | HubSpot, Bitrix24, AmoCRM, Salesforce | Да ✓ | HubSpot DPA доступен онлайн. Bitrix24 — в пользовательском соглашении для бизнеса. |
| Email / SMS | Mailchimp, Unisender, SendPulse, Brevo | Да ✓ | Email-адреса пользователей — ПДн. У большинства DPA в «Legal» разделе сайта. |
| Веб-аналитика | Google Analytics 4, Яндекс.Метрика, Mixpanel | Да ✓ | GA4: Data Processing Amendment в настройках аккаунта. Метрика — в условиях использования. |
| Платёжные системы | Stripe, CloudPayments, Tinkoff, YooMoney | Зависит ✓/– | Stripe — является независимым контроллером для PCI DSS данных. DPA нужен для метаданных транзакций. CloudPayments — поручение обязательно. |
| KYC / верификация | Sumsub, Jumio, Onfido, Sum&Substance | Да ✓ | Обрабатывают биометрию и паспортные данные — специальная категория. DPA с расширенными условиями безопасности. Подробнее — крипто-комплаенс. |
| AI-провайдеры | OpenAI, Anthropic, Google Gemini, Mistral | Да ✓ | Если в API-запросы попадают ПДн пользователей — DPA обязателен. Критически важен пункт о запрете обучения на данных клиента. Подробнее — AI платформы. |
| Helpdesk / Support | Zendesk, Intercom, Freshdesk, Jira Service | Да ✓ | Данные пользователей в тикетах — ПДн. У Zendesk и Intercom DPA доступны в центре соответствия. |
| Video / Conferencing | Zoom, Google Meet, Microsoft Teams | Да ✓ | Записи звонков, имена участников. Zoom DPA — в настройках аккаунта. Teams — через Microsoft DPA. |
| Внешние разработчики | Аутсорс-команда, фрилансеры с доступом к БД | Да ✓ | NDA недостаточно. Нужен отдельный договор поручения или DPA-приложение к договору на разработку. |
4. Обязательные разделы DPA по GDPR Art.28
Art.28(3) GDPR содержит исчерпывающий перечень условий, которые обязаны быть в каждом DPA. Отсутствие хотя бы одного — нарушение независимо от того, насколько хорошо защищены данные на практике. Вот что должно быть в каждом DPA:
§1
Предмет, срок и характер обработки (Subject matter, duration, nature)
Что именно делает процессор с данными (хранит, передаёт, анализирует), на какой срок, какие технические операции включены. Не «обрабатывает данные», а конкретно.
§2
Цель обработки (Purpose)
Строго в рамках инструкций контроллера. Процессор не вправе обрабатывать данные ни для каких целей, кроме тех, что задал контроллер.
§3
Типы персональных данных и категории субъектов
Конкретный перечень: «email, имя, IP-адрес, история покупок» — не «данные пользователей». Категории: клиенты, сотрудники, посетители сайта. При наличии специальных категорий (здоровье, биометрия) — отдельное упоминание.
§4
Only on documented instructions (обработка только по инструкции)
Процессор обрабатывает данные только по задокументированным инструкциям контроллера. Если закон обязывает процессора к иной обработке — он уведомляет контроллера заранее.
§5
Confidentiality (конфиденциальность)
Персонал процессора, имеющий доступ к данным, связан обязательством конфиденциальности — по договору или в силу закона.
§6
Security measures (меры безопасности, Art.32)
Процессор обязан внедрить технические и организационные меры по Art.32. В DPA — либо конкретный перечень мер, либо ссылка на Security Annex с SOC 2 / ISO 27001 сертификатами.
§7
Sub-processor approval (согласование субпроцессоров)
Процессор не вправе привлекать субпроцессоров без предварительного согласия контроллера — конкретного или общего (с правом возражения).
§8
Assistance with rights, DPIA and breach (помощь контроллеру)
Три отдельных обязательства: (a) помогать контроллеру отвечать на запросы субъектов; (b) помогать с DPIA и консультацией с регулятором; (c) уведомить контроллера об инциденте безопасности без необоснованной задержки.
§9
Deletion or return (удаление или возврат данных)
После окончания контракта — процессор удаляет или возвращает все данные контроллеру. Срок и метод удаления (безопасное уничтожение, сертификат) фиксируются.
§10
Audit rights (право на аудит)
Контроллер вправе проводить аудит или инспекцию процессора — самостоятельно или через уполномоченного аудитора. На практике крупные провайдеры заменяют это правом на запрос сертификатов SOC 2.
Что добавляют опционально, но важно: механизмы трансграничной передачи (SCCs, IDTA, adequacy decision), срок хранения данных, breach notification timeline (обычно 24–48 часов вместо «немедленно»), перечень утверждённых субпроцессоров в приложении, порядок изменений DPA.
5. DPA по 152-ФЗ: договор поручения и отличия от GDPR
Российская конструкция договора поручения обработки ПДн существенно отличается от GDPR DPA — и по логике, и по обязательным условиям. Компании, работающие одновременно с EU/UK и российской аудиторией, нередко ошибочно считают, что один документ закрывает обе юрисдикции. Это не так.
GDPR Art.28 DPA
- Контроллер и процессор несут прямую ответственность — каждый за своё нарушение.
- Процессор вправе обрабатывать только по инструкции — и это обязательство самого процессора.
- Субъект ПДн не является стороной договора, но регулятор защищает его интересы.
- Согласие субъекта на передачу данные процессору не требуется — достаточно законного основания у контроллера.
- Перечень обязательных условий — в ст.28(3) исчерпывающий.
152-ФЗ Договор поручения (ст.6)
- Ответственность перед субъектами остаётся у оператора (заказчика поручения) — всегда.
- Обработчик несёт ответственность перед оператором, а не перед субъектом напрямую.
- Согласие субъекта на передачу данных обработчику — по общему правилу нужно, кроме случаев закона (трудовой договор, исполнение договора с субъектом).
- Обработчик обязан соблюдать конфиденциальность и принять технические меры защиты.
- В договоре — конкретный перечень разрешённых действий, не общее «обработка».
Форматы оформления договора поручения по 152-ФЗ
- Отдельный документ — «Договор поручения обработки персональных данных». Предпочтительно при крупных или долгосрочных отношениях с подрядчиком.
- Приложение к основному договору — «Приложение № X: Условия обработки персональных данных». Удобно при оформлении договора на разработку или SaaS-подписку.
- Отдельный раздел в договоре — допустимо, если раздел содержит все обязательные условия ст.6 ч.3 и выделен явно.
- Электронная форма (акцепт условий обработки ПДн через интерфейс) — допустима при условии идентификации стороны.
Если ваши пользователи находятся в России и вы используете зарубежных подрядчиков (AWS, HubSpot, Mailchimp), у вас возникает двойное обязательство: GDPR DPA с подрядчиком + соответствие требованиям локализации 152-ФЗ. Подробнее о российских требованиях — на странице Россия / 152-ФЗ.
6. Где взять DPA и что проверить в стандартном документе провайдера
Источник DPA зависит от размера провайдера. У крупных — готовый документ доступен без переговоров. У средних — по запросу. У мелких — вы предоставляете свой шаблон.
Tier 1 — Крупные провайдеры
Готовый DPA онлайн
- Google: Admin Console → Account → Legal → DPA
- AWS: AWS GDPR DPA в разделе compliance
- Microsoft: Microsoft DPA в MPSA / Enterprise Agreement
- HubSpot: hubspot.com/legal/dpa
- Mailchimp: Раздел Legal → Data Processing Agreement
- Stripe: stripe.com/legal/data-processing-addendum
Tier 2 — Средние провайдеры
DPA по запросу
- Отправить запрос через support или к account manager.
- Многие SaaS-провайдеры имеют шаблон DPA, но не публикуют его открыто.
- Типичный срок ответа: 3–10 рабочих дней.
- Можно договориться о правках в стандартный шаблон.
- Hetzner, reg.ru, Unisender, AmoCRM — по запросу.
Tier 3 — Мелкие подрядчики
Ваш шаблон
- Разработчики-фрилансеры, небольшие IT-подрядчики.
- Вы предоставляете шаблон DPA как приложение к договору.
- Фиксируйте согласие письменно — email или подпись документа.
- Минимально необходимый набор — §§ 4–10 из GDPR Art.28(3).
Что проверять в стандартном DPA провайдера перед подписанием
- Sub-processors: есть ли список утверждённых субпроцессоров? Как вас уведомят об изменениях? Есть ли право возразить?
- Data location: где физически хранятся ваши данные? Есть ли возможность ограничить регион хранения (например, только EU)?
- Retention: как быстро и каким образом провайдер удалит данные после окончания контракта? Есть ли сертификат уничтожения?
- Transfer mechanisms: как легализована трансграничная передача — SCCs, adequacy decision, IDTA (для UK)? Актуальны ли SCCs (версия 2021)?
- Breach notification: в какой срок провайдер уведомит вас об инциденте? Стандарт — 24–48 часов, не «без необоснованной задержки» без конкретики.
- Audit rights: можете ли вы провести аудит? Принимает ли провайдер SOC 2 Type II или ISO 27001 как его замену?
- No training clause: для AI-провайдеров — явное обязательство не использовать ваши данные для обучения моделей.
Полный комплекс документов для digital-бизнеса, включая DPA-шаблоны, — в хабе юридической упаковки.
7. Sub-processor management: как управлять цепочкой
Sub-processor management — один из наиболее сложных операционных аспектов GDPR-compliance. Art.28(2) требует, чтобы процессор не привлекал субпроцессора без вашего согласия. Вопрос: как именно это согласие оформляется?
Prior (specific) authorization
- Каждый новый субпроцессор требует отдельного одобрения контроллера.
- Максимальный контроль — но операционно тяжело: большие провайдеры меняют субпроцессоров часто.
- Применимо для высокочувствительных данных: здоровье, биометрия, финансы.
- Реалистично только для ограниченного числа ключевых подрядчиков.
General authorization + notification
- Контроллер даёт общее согласие на привлечение субпроцессоров из утверждённого списка.
- Процессор уведомляет об изменениях в списке за N дней до вступления в силу.
- Контроллер вправе возразить в течение установленного срока.
- Стандарт большинства крупных провайдеров (Google, AWS, Microsoft). Срок уведомления — 30 дней.
Как это выглядит на практике у Google и AWS
Google: публикует список субпроцессоров на отдельной странице (workspace.google.com/intl/en/terms/subprocessors.html), обновляет его при изменениях и уведомляет администраторов через Admin Console. Право возразить — через официальный запрос, срок рассмотрения — 30 дней.
AWS: список субпроцессоров на aws.amazon.com/compliance/sub-processors. При добавлении нового — email-уведомление подписавшимся на рассылку. Возражение — через AWS Support. На практике AWS редко удовлетворяет возражения: если субпроцессор критичен для инфраструктуры, у контроллера остаётся выбор — согласиться или сменить провайдера.
Ваши действия: подписаться на уведомления об изменениях у всех ключевых провайдеров. Вести внутренний реестр субпроцессоров. При получении уведомления — оценить риск нового субпроцессора в течение срока возражения.
8. No training on customer data: критично для AI-провайдеров
Использование AI-API — один из самых быстро растущих сценариев, требующих DPA. Если ваш продукт отправляет данные пользователей в OpenAI, Anthropic, Google Gemini или другой AI-провайдер, возникают два параллельных вопроса: (1) есть ли DPA? (2) не обучается ли модель на этих данных?
OpenAI (API)
DPA доступен ✓- Data Processing Agreement: platform.openai.com/legal
- По умолчанию API-данные не используются для обучения моделей.
- Zero Data Retention (ZDR) доступен по запросу — данные не хранятся даже для логов.
- Данные хранятся в США. SCCs для EU-клиентов включены в DPA.
Anthropic (API)
DPA доступен ✓- DPA: anthropic.com/legal/privacy
- API-данные не используются для обучения по умолчанию.
- Данные могут храниться до 30 дней для безопасности и модерации.
- Запрос Zero Retention — через account team (enterprise).
Google Gemini API (Vertex AI)
DPA доступен ✓- DPA через Google Cloud DPA — Admin Console.
- Vertex AI: данные не используются для обучения моделей Google.
- Gemini в Google Workspace (Consumer) — другие условия, не подходит для бизнес-данных.
- EU Data Residency опция — данные в ЕС.
Mistral / open source self-hosted
Зависит ✓/–- Self-hosted Mistral, Llama — данные не уходят провайдеру, DPA с вашим хостинг-провайдером.
- Mistral API (la Plateforme) — DPA доступен, EU-hosting, данные остаются в ЕС.
- Проверяйте условия каждого конкретного API-провайдера.
Три вопроса, которые нужно задать перед подключением любого AI-API:
- Используются ли данные для обучения? Ищите явный запрет в DPA: «Provider will not use Customer Data to train or improve AI models». Без явного запрета — риск.
- Как долго хранятся данные? Срок хранения промптов и ответов. Zero Retention доступен? Какие данные используются для abuse detection?
- Где данные физически? Для EU/UK-клиентов — EU/UK регион или SCCs/IDTA. Для RU-клиентов — вопрос локализации и трансграничной передачи.
Подробнее о compliance при работе с AI-провайдерами — на нашей странице AI платформы.
9. Типичные ошибки при работе с DPA
По опыту compliance-аудитов, большинство компаний допускают одни и те же ошибки — часто системные, а не разовые.
❌
DPA нет вообще
Компания использует 15–20 SaaS-инструментов, но ни с одним нет подписанного DPA. Самое распространённое нарушение — особенно у стартапов на ранних стадиях.
✓ Инвентаризируйте всех подрядчиков с доступом к данным пользователей. Для каждого найдите или запросите DPA.
❌
DPA есть, но только на английском — а клиенты из РФ
GDPR DPA с AWS или Google на английском закрывает EU/UK требования. Но для российских пользователей нужен отдельный договор поручения по 152-ФЗ. Один документ не заменяет другой.
✓ Для dual-jurisdiction: GDPR DPA + отдельный договор поручения по 152-ФЗ (или раздел в основном договоре).
❌
Не проверен список субпроцессоров
Вы подписали DPA с провайдером, но не изучили, каких субпроцессоров он использует. Часть из них — в юрисдикциях без adequacy decision, передача данных туда нелегальна без SCCs.
✓ При подписании DPA: запросить или найти актуальный список субпроцессоров и оценить их расположение.
❌
DPA не обновили после смены провайдера
Компания перешла с Mailchimp на Brevo, но DPA остался с Mailchimp. Данные уже идут в Brevo без договора поручения. Реально встречающаяся ситуация при миграции стека.
✓ При смене провайдера: первый шаг — новый DPA с новым провайдером, до переноса данных.
❌
NDA вместо DPA с разработчиками
Разработчикам-аутсорсерам дали доступ к production-БД и подписали NDA. NDA защищает коммерческую тайну, но не создаёт обязательств по GDPR Art.28 или 152-ФЗ ст.6.
✓ Разработчики с доступом к ПДн пользователей — нужен DPA/договор поручения как приложение к договору на разработку.
❌
Нет audit clause или она чисто декларативная
В DPA написано «контроллер вправе провести аудит», но нет: порядка уведомления, срока, периодичности, формы (on-site / через отчёт). На практике воспользоваться таким правом невозможно.
✓ Добавьте конкретику: «письменное уведомление за 30 дней, аудит не чаще 1 раза в год, возможна замена SOC 2 Type II отчётом».
❌
Устаревшие SCCs в DPA
Европейская Комиссия в 2021 году ввела новые Standard Contractual Clauses. Старые SCCs (2010/2001) недействительны с декабря 2022. DPA со старыми SCCs формально не обеспечивает законный перенос данных.
✓ Проверьте дату ваших DPA: SCCs должны быть 2021 года (2021/914/EU или 2021/915/EU). UK — IDTA 2022 года.
10. Чек-лист: 8 пунктов для каждого DPA
Применяйте этот список при подписании нового DPA или аудите существующего:
1
Все обязательные разделы GDPR Art.28(3) присутствуют§§1–10 из раздела 4 этой статьи. Ни один не может отсутствовать. При отсутствии — запросить дополнение или использовать свой шаблон.
2
Процессор обязуется обрабатывать только по инструкцииЯвная формулировка: «only on documented instructions from the controller». Без этого — документ не является DPA по GDPR.
3
Список субпроцессоров или механизм уведомленияПриложение с текущим списком + обязательство уведомлять об изменениях за 30+ дней + ваше право возразить в этот срок.
4
Механизм трансграничной передачиSCCs 2021 года (для EU), IDTA 2022 (для UK), adequacy decision или другой легальный механизм. Старые SCCs 2010/2001 — недействительны.
5
Breach notification срок конкретный«Without undue delay» — недостаточно. Должен быть срок: 24 или 48 часов. Канал уведомления. Минимальное содержание уведомления.
6
Deletion clause с конкретным срокомПосле окончания контракта — удаление или возврат в течение N дней. Способ удаления (безопасное уничтожение). Опционально — сертификат удаления.
7
Для AI-провайдеров: no training clause явная«Provider will not use Customer Data to train, fine-tune or improve AI models». Без явного запрета — риск. Также: срок хранения промптов, опция ZDR.
8
Соответствие 152-ФЗ (при работе с RU-пользователями)GDPR DPA не заменяет договор поручения по ст.6 ч.3 152-ФЗ. Для dual-jurisdiction: отдельный документ или отдельный раздел в договоре на русском языке с перечнем разрешённых действий.
Главный принцип: DPA — живой документ, не разовое мероприятие. Ведите реестр всех подписанных DPA, отслеживайте даты истечения, подписывайтесь на уведомления об изменениях у ключевых провайдеров. Аудит DPA раз в год — минимальная гигиена для любого digital-бизнеса, работающего с персональными данными. Получить помощь с разработкой DPA-шаблонов и аудитом существующих договоров можно через сервис юридической упаковки.
Часто задаваемые вопросы
Можно ли использовать один универсальный DPA-шаблон для всех подрядчиков?
Базовый шаблон — да, отправная точка. Но в финальном документе необходимо заполнить специфику: конкретный перечень данных, цели, действия, субпроцессоры, регион хранения. У крупных провайдеров (AWS, Google, Microsoft) — свои стандартные DPA, которые они не меняют. Там вы акцептуете их документ, а не навязываете свой. С мелкими подрядчиками — ваш шаблон обычно принимается без переговоров.
Нужен ли DPA, если провайдер не обрабатывает данные напрямую, а только предоставляет инфраструктуру?
Да. «Обработка по поручению» в широком смысле включает хранение данных, даже без их просмотра или анализа. Если персональные данные проходят через инфраструктуру провайдера (серверы, CDN, резервные копии), провайдер является процессором по GDPR. Исключение — если провайдер действует как независимый контроллер (например, платёжный процессор в части данных карт) — тогда DPA не нужен, но нужна проверка их собственной privacy policy.
Что делать, если мелкий подрядчик отказывается подписывать DPA?
Три варианта: (1) не передавать ему персональные данные — использовать только обезличенные данные для его задач; (2) найти альтернативного подрядчика, готового подписать; (3) зафиксировать письменно, что подрядчик отказался, и оценить риск — если данных передаётся мало и риск низкий, задокументируйте решение. Вариант «передать и не оформить» — это всегда нарушение, вопрос только в вероятности обнаружения и размере штрафа.
Как часто нужно обновлять DPA?
Переподписывать DPA нужно при: (1) существенном изменении характера или объёма обработки данных; (2) изменении регуляторной базы, требующем обновления условий (как это было с новыми SCCs в 2022 году); (3) смене провайдера. Плановый аудит — раз в год. Если провайдер меняет свой стандартный DPA, он, как правило, уведомляет об этом — и это требует вашего согласия или отказа от сервиса.
Достаточно ли SOC 2 Type II сертификата вместо права на аудит?
С практической точки зрения — да, для большинства случаев. GDPR Art.28 требует, чтобы право на аудит было формально закреплено в DPA. Но законодательство допускает, что аудит может проводиться через «inspection of approved certification». Крупные провайдеры заменяют право на физический аудит правом запрашивать актуальный SOC 2 Type II отчёт — это признаётся регуляторами приемлемым. Убедитесь, что DPA явно предусматривает эту альтернативу.
Приведите DPA-документацию в порядок
Аудит существующих договоров с процессорами, разработка шаблона DPA / договора поручения по 152-ФЗ, помощь в переговорах с провайдерами — под GDPR, UK GDPR и 152-ФЗ одновременно.
Шаблон DPA (GDPR Art.28)
Договор поручения 152-ФЗ
Аудит цепочки процессоров
DPA с AI-провайдерами
Реестр субпроцессоров
Заказать подготовку DPAРаботаем с SaaS, fintech, EdTech, AI-продуктами и международными командами. Ответим в течение рабочего дня.