Data Processing Agreement (Controller–Processor)
GDPR-compliant controller↔processor DPA with annexes: processing details, security measures (TOMs), sub-processors, SCC mapping, DSAR & breach playbooks.
When you need this
Когда вы (как контроллер) привлекаете поставщика/подрядчика для обработки данных: KYC-провайдер, облачный хостинг, custodian, платежный провайдер, support/аналитика. DPA обязателен по ст. 28 GDPR.
What’s inside
- Processing instructions, subject-matter, duration, категории данных и субъектов.
- Processor obligations: конфиденциальность, безопасность (Annex II TOMs), помощь с DSAR/DPIA, логи и аудит.
- Sub-processors: общий/специфический допуск, уведомление об изменениях (15 дней), flow-down, ответственность.
- International transfers & SCCs: Module Two (C→P), Docking, TIAs, допмеры.
- Breach notice: «без неоправданной задержки», ориентир ≤ 24h к контроллеру.
- Deletion/Return: после расторжения — удаление/возврат, бэкапы и сроки.
- Liability & insurance: капы из MSA, carve-outs, cyber-страхование.
How to customize
- Заполните Annex I: цели, категории данных/субъектов, места обработки, контакты.
- Сверьте Annex II (TOMs) с реальными практиками (ISO 27001/SOC 2), пропишите RPO/RTO и бэкапы.
- Внесите субпроцессоров в Annex III, настройте период уведомления об изменениях (напр., 15 дней).
- Если есть трансферы — приложите/сошлитесь на SCC 2021/914 и опишите supplementary measures (Annex IV).
- Установите SLA уведомлений о нарушениях (например, ≤ 24h) и согласуйте аудит-процедуры/отчёты (ISO/SOC).
Jurisdictional notes
- EEA/UK: ст. 28 GDPR/UK GDPR; SCC 2021/914 (EU) или IDTA/ACCs (UK).
- AIFC/KZ: учесть местные правила AFSA и режим трансферов.
- US: доп. требования по GLBA/штатным законам, security addenda, vendor risk.
Download & next steps
Скачайте skeleton, заполните Annex I–IV и подгоните TOMs под ваш стек. Нужна интеграция SCC/IDTA и аудит-процедуры — поможем.