Acord de prelucrare a datelor

Un Acord de prelucrare a datelor, denumit frecvent DPA sau Data Processing Addendum, este contractul care definește modul în care un furnizor de servicii prelucrează date personale în numele clientului său.

Pentru o platformă precum Zybots, un DPA este necesar de regulă atunci când clientul folosește serviciul pentru a colecta, stoca, analiza, direcționa sau prelucra în alt mod date personale prin asistenți AI, formulare de lead capture, conversații chat, fluxuri de suport sau operațiuni bazate pe API.

Un DPA este, în general, potrivit atunci când clientul decide de ce sunt prelucrate datele personale, iar Zybots oferă infrastructura sau stratul de produs care prelucrează aceste date în numele clientului.

În majoritatea implementărilor enterprise, clientul acționează ca operator, iar Zybots ca persoană împuternicită. Dacă clientul este el însuși persoană împuternicită pentru o altă parte, atunci Zybots poate opera ca subîmputernicit.

DPA-ul ar trebui să descrie obiectul, natura, scopul și durata prelucrării, împreună cu categoriile de date personale și categoriile de persoane vizate care pot fi implicate.

Pentru Zybots, acestea pot include informații la nivel de cont, date de contact din workspace, mesaje ale utilizatorilor finali, log-uri tehnice, lead-uri trimise și conținut furnizat de client pentru operarea serviciului configurat.

Un DPA trebuie să precizeze clar că Zybots prelucrează datele personale doar pe baza instrucțiunilor documentate ale clientului, cu excepția situațiilor în care legea aplicabilă impune altceva.

Clientul rămâne responsabil pentru legalitatea datelor furnizate, temeiul legal al prelucrării, acuratețea instrucțiunilor date și informările sau consimțămintele pe care trebuie să le furnizeze utilizatorilor finali.

Clienții enterprise se așteaptă de obicei ca DPA-ul să explice că Zybots poate folosi subprocesatori verificați pentru hosting, stocare, comunicare, monitorizare, plăți sau execuția modelelor, acolo unde este necesar pentru furnizarea serviciului.

DPA-ul ar trebui să explice și că subprocesatorii trebuie să fie obligați prin cerințe comparabile de confidențialitate și protecție a datelor și că clienții ar trebui să aibă o modalitate de a revizui sau de a fi informați despre modificările semnificative privind subprocesatorii.

Un DPA include în mod normal angajamente privind confidențialitatea, măsurile tehnice și organizatorice de securitate, controalele de acces și modul în care sunt tratate incidentele de securitate sau breșele de date personale.

Clienții pot aștepta și suport pentru solicitări rezonabile de audit, chestionare de securitate sau dovezi privind controalele, acolo unde acestea sunt proporționale și compatibile cu modelul de securitate al platformei.

Dacă Zybots sau furnizorii aprobați ai săi prelucrează date personale în afara SEE, Regatului Unit sau Elveției, DPA-ul trebuie să definească mecanismul de transfer folosit pentru aceste transferuri transfrontaliere.

Acesta include frecvent Clauzele Contractuale Standard ale UE, Addendum-ul UK, limbaj pentru Elveția unde este relevant și orice garanții suplimentare care pot fi adecvate modelului de transfer.

Un DPA explică de regulă modul în care Zybots asistă clienții în gestionarea cererilor persoanelor vizate, precum acces, ștergere, rectificare, restricționare, portabilitate sau opoziție, în măsura în care acestea sunt aplicabile și fezabile tehnic.

Ar trebui să definească și ce se întâmplă cu datele personale controlate de client la încetarea serviciului, inclusiv returnare, ștergere, blocare sau retenție atunci când păstrarea este impusă de lege.

Da, Zybots ar trebui să aibă un DPA dacă vrea să vândă profesionist către companii, mai ales către clienți din UE, echipe enterprise sau organizații conduse de procurement.

Chiar și atunci când DPA-ul executoriu este completat prin sales sau prin acceptarea din cont, o pagină publică despre DPA ajută echipele de securitate, departamentele juridice și clienții potențiali să înțeleagă angajamentele de bază privind prelucrarea datelor înainte de contractare.

Dacă organizația ta are nevoie de un DPA semnat, contactează [email protected] și trimite numele entității juridice, detaliile contractuale și eventualele cerințe de procurement.

Dacă un client cere limbaj suplimentar pentru transferuri, detalii de anexă sau anexe de securitate, acestea ar trebui revizuite în raport cu modelul actual de prelucrare al Zybots înainte de semnare.