המועצה האירופית להגנת מידע (EDPB) פרסמה הנחיות חדשות בנוגע להסכמי עיבוד מידע (DPA)

המועצה האירופית להגנת מידע (EDPB) פרסמה לאחרונה גילוי דעת בנוגע ל- standard contractual clauses בהתאם לסעיף 28 ל-GDPR, במסגרתו ניתנו הנחיות ופרשנויות חשובות אודות ניסוח הסכמי עיבוד מידע או Data Processing Agreements (DPA, אשר מגדירים את מערכת היחסים בין שולט המידע למעבד המידע (controller-processor).

בגילוי הדעת קובע ה- EDPB, בין היתר, כי בעוד שהסכמי DPA חייבים להכיל חלק כללי של הוראות הלקוחות מה-GDPR, הרי שהסכמים אלו חייבים לכלול גם חלק ספציפי שיושלם על-ידי הצדדים להסכם בהתאם לעיבוד המידע הספציפי העומד על הפרק, בכפוף ובהתאם לתנאי ההתקשרות המסחרית בין הצדדים.

הסכמים אשר רק מצטטים את הוראות סעיף 28 ל-GDPR מבלי לבצע התאמות ספציפיות אינם עומדים בתנאי ה-GDPR.

בנוסף, ה-EDPB  העניק פרשנות להוראות שונות במסגרת יחסי controller-processor. כך למשל, נעשתה התייחסות לזכויות שולטי המידע במסגרת שליטתם בפעולות העיבוד, התחייבויות של מעבד המידע, הוראות בנוגע לשימוש בקבלני משנה, העברות בינלאומיות של מידע, זכויות בדיקה וביקורת, הטמעת זכויות נושאי המידע ועוד.

לגילו הדעת המלא של ה-  EDBP לחצו כאן. לשאלות או הבהרות נוספות ניתן ליצור קשר עם עו"ד ליאור אתגר, ראש תחום הגנת הפרטיות והמידע במשרדנו.