Vad är ett data processing agreement (DPA)?

Ett “data processing agreement”, eller DPA, är ett avtal mellan ett företag (personuppgiftsansvarig) och en tredjepartsleverantör (personuppgiftsbiträde). Det reglerar hur personuppgifter hanteras och används för affärsändamål. Ett DPA är särskilt viktigt för att följa GDPR-regler.

Personuppgiftsbehandling innebär alla steg där data samlas in, bearbetas och analyseras för att skapa värdefull information. Företag använder ofta externa tjänster för att hantera och analysera kunddata, vilket kräver ett DPA.

Till exempel använder New York Times (NYT) Google BigQuery för att analysera vilka artiklar folk läser, hur länge de stannar på webbplatsen och hur ofta de använder NYT-appen. Denna data hjälper NYT att fatta affärsbeslut, och därför finns det ett DPA mellan NYT och Google för att reglera hur denna data hanteras.

Syftet med ett DPA

Ett data processing agreement fastställer tekniska krav för hur data ska lagras, skyddas, behandlas och användas. Avtalet anger också vad biträdet får och inte får göra med personuppgifterna.

Ett DPA är avgörande för att säkerställa att företaget följer GDPR-reglerna.