Як скласти DPA (договір про обробку персональних даних) у 2026 покроково для ТОВ/ФОП: визначити Контролера і Процесора, заповнити 8 обов'язкових елементів за ст. 28(3) Регламенту (ЄС) 2016/679 (GDPR), додати Annex 1-3 (опис обробки, sub-процесори, заходи безпеки), включити SCC 2021 для cross-border, узгодити breach SLA 24-48 годин, забезпечити audit rights, прив'язати до ст. 24 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI, підписати у письмовій формі (ст. 207 ЦКУ або КЕП за ЗУ № 2155-VIII).
Покроково: 12 кроків укладення DPA
- Identify roles. Контролер — визначає мету і засоби обробки. Процесор — обробляє за інструкціями. Joint controller — рідкісний випадок (ст. 26 GDPR).
- Inventarize processing. Природа (hosting/email/HR/analytics), мета (надання послуг клієнтам), тривалість (per контракт + 30 днів post-termination).
- Identify data categories. Базові ідентифікатори / фінансові / health (ст. 9 GDPR) / biometric / behavior. Special categories — посилений захист.
- Identify subjects. Клієнти / працівники / контрагенти / відвідувачі сайту / lead-и.
- Determine legal basis (ст. 6 GDPR). Consent / contract / legal obligation / vital interests / public task / legitimate interests. Document вибір.
- Draft 8 mandatory elements (ст. 28(3) GDPR). Subject/duration/nature/purpose, type of data + categories of subjects, controller obligations and rights, instructions, confidentiality, security measures, sub-процесори, assistance + audit + return/erasure.
- Annex 1: description of processing. Specific бизнес-кейс. Generic templates — non-compliant.
- Annex 2: sub-процесори. List + jurisdictions + 30-day notice + право заперечити + back-to-back DPA для кожного sub-процесора.
- Annex 3: technical and organisational measures. AES-256 encryption at rest, TLS 1.3 in transit, RBAC, MFA, audit logs, incident response plan.
- Cross-border transfers (ст. 44-49 GDPR). Якщо receiving country без adequacy decision → SCC 2021 модуль (C2C/C2P/P2P/P2C) + Transfer Impact Assessment (TIA).
- Breach notification SLA. 24-48 годин Процесор → Контролер. 72 години Контролер → supervisory authority (ст. 33 GDPR).
- Sign. Письмова форма (ст. 207 ЦКУ) або КЕП за ЗУ № 2155-VIII. Зберігати у централізованому contract management.
Шаблон структури DPA (template outline)
1. Sides + recitals (controller, processor, processing context)
2. Definitions (per ст. 4 GDPR + ст. 1 ЗУ № 2297-VI)
3. Subject matter, duration, nature and purpose
4. Type of personal data and categories of subjects
5. Controller obligations and rights
6. Processor obligations:
6.1 Documented instructions
6.2 Confidentiality
6.3 Security measures (ст. 32)
6.4 Sub-processors (ст. 28(2), (4))
6.5 Assistance with DSAR (ст. 12-22)
6.6 Assistance with security/breach/DPIA (ст. 32-36)
6.7 Return/erasure on termination
6.8 Audit and inspection
7. Cross-border transfers (SCC integrated як Annex)
8. Liability and indemnification
9. Term and termination
10. Governing law, jurisdiction
11. Annex 1: Description of processing
12. Annex 2: Sub-processors
13. Annex 3: Technical and organisational measures
14. Annex 4: SCC 2021 (if applicable)
8 обов'язкових елементів — what to write
| Елемент | Що включити |
|---|---|
| Subject/duration/nature/purpose | "Hosting customer accounts data on AWS for service delivery; duration = master agreement + 30 days post-termination" |
| Type of data + subjects | "Email, IP, behavior; subjects = customers and trial users" |
| Controller obligations | Comply with GDPR + Закон 2297-VI, provide instructions, respond to DSAR |
| Instructions | "Processor processes only on documented instructions"; deviation = breach |
| Confidentiality | "All persons authorized to process data committed to confidentiality" + NDA reference |
| Security measures | Reference Annex 3 + ст. 32 GDPR compliance |
| Sub-processors | Annex 2 + 30-day notice + objection right + back-to-back DPA |
| Assistance + audit + return | DSAR assistance, DPIA support, breach notification SLA, audit rights, return/erasure within 30-90 days |
Cross-border: коли і як додати SCC
| Receiving country | Adequacy | SCC потрібен |
|---|---|---|
| EU/EEA member | YES | НІ |
| UK | YES (2021) | НІ |
| Switzerland | YES | НІ |
| USA + DPF certified | partial (DPF) | YES (recommended з SCC + TIA) |
| USA non-DPF | NO | YES + TIA |
| India | NO | YES + TIA |
| Singapore | NO | YES + TIA |
| Russia | NO + sanctions | NEVER (sanctioned) |
SCC 2021 — Annex до DPA. Не змінювати clauses (інакше invalidates).
Часті помилки при складанні DPA
1. Generic template без Annex 1 specific. AWS DPA "as is" без description of own processing → non-compliant ст. 28(3). Recipe: заповнити Annex 1 з details.
2. Sub-процесори у Annex 2 missing. "Other Cloud providers" — не достатньо. Recipe: explicit list з jurisdictions.
3. Без SCC для US transfer. Mailchimp у US-region без SCC. Recipe: SCC 2021 модуль + TIA.
4. Breach SLA "without undue delay". Vague — Контролер не може дотриматися 72h. Recipe: 24-48h explicit.
5. Audit виключений. "No on-site audits". Recipe: обмежити (annual + з notice + третя сторона), але не виключити.
6. Indemnification обмежений. Контролер несе full liability + штрафи Процесора. Recipe: unlimited indemnification для GDPR-штрафів спричинених Процесора.
7. Без termination data handling. "Processor decides what to do with data". Recipe: Контролер вибирає return/erasure + 30-90 днів window + certificate.
8. Без update mechanism. DPA static, законодавство змінюється. Recipe: annual review clause + automatic update для material changes.
Підпис і архівація
Письмова форма обов'язкова — ст. 207 ЦКУ або КЕП за ЗУ № 2155-VIII «Про електронні довірчі послуги».
Архівація:
- Originals — secure, accessible (digital або physical).
- Version control — track changes.
- Annual review — date stamp кожного review.
- Retention — duration of contract + 5 років post-termination (для potential disputes).
Acceptable forms of signature
| Форма | Validity | Use case |
|---|---|---|
| Hand-written ink signature | ✅ | Traditional, international parties |
| Print + sign + scan + email | ✅ якщо clear intent | Quick, low-formality |
| КЕП (qualified electronic signature) | ✅ ст. 22 ЗУ № 2155-VIII | Стандарт для українських ЮО |
| DocuSign / HelloSign / Adobe Sign | ✅ якщо intent + audit trail | International, fast |
| Click-through (онлайн checkbox) | ✅ для small-scale, ⚠️ для high-stakes | Self-serve cloud DPAs |
FAQ
Чи можу я використати один DPA для кількох процесорів? НІ. Кожен Процесор — окремий DPA з specific Annex 1. Belgian DPA 2023 fined controller за використання identical template для 12 процесорів.
Чи DPA потрібен для українського субпідрядника, що обробляє дані працівників? Так. ст. 24 ЗУ № 2297-VI — обробка через розпорядника на підставі договору в письмовій формі. Це і є DPA (functional equivalent).
Скільки часу займає скласти DPA з нуля? Якісний DPA з усіма Annex'ами — 8-20 годин юридичної роботи. AGENTIS-генератор скорочує до 30-60 хвилин для draft + final review юристом.
Чи потрібен український переклад для англомовного DPA? Не обов'язковий за GDPR, але рекомендований для української сторони — для чіткого розуміння + reduce dispute risk. Bilingual contracts — стандартна практика.
AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.
Готовий шаблон DPA з усіма Annex'ами — згенеруйте чернетку DPA через AGENTIS.
Пов'язані матеріали:
- Pillar: Договір про обробку персональних даних
- QA: Чи потрібен DPA для SaaS і Google Analytics
- Cross-border SCC 2021
- GDPR ст. 28 — повний огляд
Зовнішні джерела: GDPR Art. 28 на gdpr-info.eu · Закон 2297-VI на zakon.rada.gov.ua