IT & TechnologyDoporučovaná advokátní kancelář pro IT právo

DPA a zpracovatelské smlouvy pro ochranu osobních údajů.

Bez správné DPA smlouvy jste zodpovědní za to, co dělá váš dodavatel s osobními údaji vašich zákazníků.

Zpracovatelská smlouva (DPA) je povinná při každém sdílení osobních údajů s externím dodavatelem, který je zpracovává vaším jménem. Zpracujeme nebo revidujeme DPA smlouvy s vašimi dodavateli, zahrneme standardní smluvní doložky (SCC) pro přenos do třetích zemí a nastavíme kontrolní mechanismy pro zpracovatele.

C on á so d l i š u j e

DPA smlouvy, které skutečně chrání vaše zájmy.

Podpis DPA bez prověření bezpečnostních opatření dodavatele je jen formalita. My nastavíme DPA tak, aby měla reálný obsah.

Znalost standardních smluvních doložek (SCC)

Přenos osobních údajů mimo EU vyžaduje SCC nebo jiný zákonný mechanismus. Zpracujeme SCC přizpůsobené konkrétní situaci a vztahu.

Prověření bezpečnostních opatření dodavatele

DPA musí popisovat technická a organizační bezpečnostní opatření dodavatele. Pomůžeme s jejich prověřením a zapracováním do smlouvy.

Registr zpracovatelů a dalších zpracovatelů

GDPR vyžaduje přehled zpracovatelů a schválení subzpracovatelů. Vytvoříme registr a nastavíme proces schvalování nových subzpracovatelů.

SaaS a cloud DPA jako standard

Mnoho SaaS poskytovatelů nabízí standardní DPA. Prověříme, zda odpovídá vašim potřebám, nebo zda je nutné vyjednat odchylky.

D e t a i l n ě

Čtyři kroky k DPA compliance pro všechny vaše zpracovatele.

Mapping zpracovatelů a subzpracovatelů

Identifikujeme všechny dodavatele, kteří zpracovávají OÚ vaším jménem, a zmapujeme chybějící DPA smlouvy.

Zpracování nebo revize DPA smluv

Navrhneme nebo revidujeme DPA smlouvy s dodavateli tak, aby splňovaly požadavky čl. 28 GDPR.

Standardní smluvní doložky (SCC)

Pro dodavatele mimo EU připravíme SCC jako zákonný mechanismus pro přenos osobních údajů.

Registr a procesní nastavení

Vytvoříme registr zpracovatelů a nastavíme proces schvalování nových dodavatelů z pohledu GDPR.

V á š   p a r t n e r
PORTRAIT · J. MENČÍK
Jaroslav Menčík

Jaroslav Menčík

Partner
Vedoucí týmu pro IT & Technology

Jaroslav Menčík je partnerem advokátní kanceláře Ambit a vede tým pro IT a Technologie. Za více než 15 let praxe uzavřel přes 200 transakcí v oblasti softwarového práva, kybernetické bezpečnosti, regulace AI a technologického transferu. Klientům z řad startupů, scale-upů i globálních korporací poskytuje odborné poradenství ukotvené v realitě podnikání. Vystudoval právo na Masarykově univerzitě v Brně a Karlově univerzitě v Praze (JUDr., Ph.D.) a jako Hauser Global Scholar získal titul LL.M. na NYU School of Law. Ekonomické vzdělání (Ing.) mu umožňuje integrovat finanční a strategický pohled do každého mandátu.

15+
let zkušeností v IT právu
200+
uzavřených transakcí
Č a s t o   k l a d e n é   d o t a z y

Otázky, které klienti často pokládají.

Nenašli jste tu svou? Napište přímo vedoucímu partnerovi — odpověď obvykle do jednoho pracovního dne.

Zeptejte se přímo Jaroslava
Kdy musím mít s dodavatelem DPA smlouvu?
DPA smlouva je povinná pokaždé, kdy externímu dodavateli svěřujete zpracování osobních údajů vaším jménem. Typicky: cloudové služby, CRM, ERP, analytika, emailový marketing, HR systémy, účetní software nebo zákaznická podpora.
Co musí DPA smlouva povinně obsahovat?
Dle čl. 28 GDPR musí DPA obsahovat zejména předmět zpracování, dobu trvání, povahu a účel, typ OÚ, kategorii subjektů, povinnosti zpracovatele (jen dle pokynů, mlčenlivost, bezpečnost, subzpracovatelé, spolupráce s dozorovým orgánem) nebo právo správce na audit.
Co jsou standardní smluvní doložky (SCC) a kdy je potřebuji?
SCC jsou standardizované smluvní klauzule schválené Evropskou komisí, které umožňují zákonný přenos OÚ mimo EU. Jsou potřeba pokaždé, kdy vaše OÚ zpracovává dodavatel se servery nebo sídlem mimo EU (typicky USA, Indie, Kanada).
Jak nastavit schvalování subzpracovatelů?
DPA musí definovat mechanismus pro schvalování nových subzpracovatelů zpracovatelem. Správce buď schvaluje každého subzpracovatele individuálně (přísnější), nebo dává obecný souhlas s právem námitky (flexibilnější). Doporučujeme obecný souhlas s notifikačním mechanismem.
Co dělat, pokud dodavatel nabídne svou standardní DPA?
Prověříme nabídnutou DPA a identifikujeme klauzule, které jsou nedostatečné nebo pro vás nevhodné. Pokud DPA nesplňuje požadavky GDPR, nelze smlouvu podepsat beze změn. U velkých SaaS dodavatelů jsou odchylky od standardní DPA málokdy možné, ale možné jsou.