Odeslat požadavek
COREDO > Blog > DPA a zpracování údajů – jak správně nastavit vztahy s dodavateli

DPA a zpracování údajů – jak správně nastavit vztahy s dodavateli

Pavel Kos
Aktualizováno: 03.04.2026
Obsah článku

Od roku 2016 vedu COREDO jako společnost, která pomáhá podnikatelům a finančním ředitelům budovat mezinárodní struktury, získávat licence a dodržovat požadavky regulátorů v Evropě, Asii a SNS. Během té doby se jedním z nejvíce „neviditelných“, ale kriticky důležitých prvků stala smlouva o zpracování osobních údajů (DPA) a celá architektura práce s dodavateli, kteří se zabývají údaji klientů. Založení společnosti, licencování platebních služeb nebo kryptobiznisu, AML procesy – bez kvalitního DPA a řízení rizik dodavatelů dat tato konstrukce buď nevzlétne, nebo se časem promění v zdroj regulačních problémů.

V tomto článku jsem shrnul naše reálné zkušenosti: jak vybíráme model přeshraničního přenosu dat, jak integrujeme DPIA a DTIA do onboardingu dodavatelů, co zapisujeme do DPA a SLA, jaké metriky a KPI používáme k hodnocení bezpečnosti dodavatelů a jak snižovat právní rizika při cloudovém modelu v různých jurisdikcích. Praxe COREDO potvrzuje: spolehlivý základ z DPA, prověření dodavatelů a transparentních procesů dává projektům zrychlení – od licencí v EU až po vstup do Singapuru a Dubaje.

DPA v mezinárodní registraci

Ilustrace k oddílu «DPA v mezinárodní registraci» v článku «DPAs a zpracování dat – jak správně nastavit vztahy s dodavateli»

Когда компания выходит в ЕС, Великобританию, Singapur или ОАЭ и подключает SaaS/cloudové сервисy, она фактически создает сеть процессоров и субпроцессоров. Без формализованного DPA (соглашение об обработке персональных данных) и понятной цепочки обработки данных у регулятора сразу возникают вопросы: кто контроллер, кто процессор, где и на каких основаниях идет передача персональных данных за границу, как подтверждается соответствие требованиям защиты данных. Команда COREDO регулярно видит, что именно здесь рождаются риски блокировки лицензий и штрафов.
Особенно это чувствительно при получении финансовых лицензий – от платежных и форекс до криптовалютных (VASPs) и банковских. Регуляторы смотрят не только на AML-политики, но и на GDPR и подрядчики: как выстроены DPA, какие стандартные договоры передачи данных (SCC) используются, предусмотрено ли řízení rizik поставщиков данных и права контроллера и процессора. Решение, разработанное в COREDO, всегда связывает bloky ochrany soukromí и AML в единую операционную модель.

Mapa požadavků: EU a Asie

Ilustrace k oddílu «Mapa požadavků: EU a Asie» v článku «DPAs a zpracování dat — jak správně nastavit vztahy s dodavateli»

V EU platí GDPR; pro přenosy jsou k dispozici standardní smluvní doložky (SCC), závazná interní pravidla skupiny (BCR), rozhodnutí o adekvátnosti ochrany (adequacy decision) a EU–US Data Privacy Framework (DPF). Po Schrems II vyžadují všechny mechanismy přenosu dat mezi USA a EU dodatečné posouzení přenosu dat (Data Transfer Impact Assessment, DTIA) a místní úřady pro ochranu osobních údajů a EDPB vydávají doporučení k hodnocení rizik a dodatečným opatřením.
Ve Velké Británii: UK GDPR a nástroje IDTA nebo UK Addendum ke SCC, stejně jako UK–US Data Bridge jako součást DPF. V Singapuru platí PDPA a metodika oznamování porušení údajů, v SAE funguje federální PDPL, a také nezávislé režimy DIFC/ADGM se svými registry a požadavky. V řadě asijských zemí existují místní omezení na přeshraniční přenosy dat a zvláštní požadavky na politiku uchovávání a mazání dat. Naše zkušenost v COREDO ukázala: správná kartografie jurisdikcí na začátku ušetří měsíce a snižuje náklady na následnou nápravu.

Role: správce, zpracovatel, subzpracovatelé

Ilustrace k oddílu «Role: správce zpracovatel subzpracovatelé» v článku «DPAs a zpracování údajů - jak správně nastavit vztahy s dodavateli»
Správce určuje účely a prostředky zpracování, zpracovatel zpracovává na pokyn, subzpracovatelé a řetězec zpracování údajů musí být transparentní a formálně schválené. V DPA zaznamenáváme role, práva správce a zpracovatele, stejně jako flow-down klauzule pro subdodavatele, aby povinnosti subdodavatele v DPA reprodukovaly základní záruky.

V sektoru financí často přidáváme bloky související s AML screeningy, poskytovateli KYC a poskytovateli monitoringu transakcí. Odpovědnost poskytovatele služeb za data je potřeba v praktické rovině: SLA, doby reakce (MTTR), RTO/RPO, kontrolní body řízení incidentů a právo na audit. Není to formalita: jsou to provozní dohody, podle kterých budete postupovat v případě úniku.

Jak uzavřít DPA s poskytovatelem SaaS

Ilustrace k oddílu „Jak uzavřít DPA s poskytovatelem SaaS“ v článku „DPA a zpracování dat - jak správně vybudovat vztahy s dodavateli“
Doporučuji následující postup, který tým COREDO zdokonaloval na desítkách projektů:

  1. Předkontraktační fáze:
    • Proveďte Due Diligence dodavatelů (vendor due diligence) se zaměřením na certifikační standardy dodavatelů ISO 27001 a SOC 2, politiku šifrování v klidu i při přenosu, správu klíčů (HSM, BYOK), IAM a princip minimálních oprávnění, přítomnost MFA, SIEM a kontinuální monitoring dodavatelů.
    • Zhodnoťte model sdílené odpovědnosti (IaaS/PaaS/SaaS): kde je hranice odpovědnosti za konfigurace, patch management a řízení zranitelností.
    • Prověřte právní rizika extraterritoriálních zákonů (např. CLOUD Act) a sladěte je s DTIA.
  2. Struktura DPA:
    • Popište rozsah zpracování, kategorie údajů a subjekty, klasifikaci údajů a minimalizaci údajů, účely a právní důvody.
    • Zahrňte standardní části: standardní smlouvy o přenosu údajů (SCC) nebo BCR/DPF, mechanismy subzpracování a registr subdodavatelů, právo na audit a frekvence auditů (on-site/remote), oznámení o narušení údajů a SLA metriky bezpečnosti údajů.
    • Přidejte podmínky vrácení a vymazání údajů při ukončení smlouvy, politiku uchovávání a mazání údajů, NDA v rámci DPA, omezení odpovědnosti a ustanovení o odškodnění.
  3. Bezpečnost a SLA:
    • Ujednejte SLA, RTO a RPO v DPA pro zpracování údajů, metriky MTTR a postup eskalací.
    • Specifikujte, jak zajistit šifrování klíčů u dodavatelů (BYOK), požadavky na HSM, vedení bezpečnostních logů a integraci s vaší SIEM.
    • Stanovte požadavky na penetration testing a validaci bezpečnosti dodavatele, včetně cvičení red team/blue team.
  4. Práva subjektů údajů a podpora správce:
    • Upřesněte, jak dodavatel zpracovává klientské DSAR (žádosti subjektů údajů), lhůty a kanály komunikace.
    • Uveďte, která data budou zařazena do RoPA a kdo je odpovědný za aktualizace.
  5. Formální náležitosti:
    • Elektronický podpis a multijurisdikční legitimita, překlad a legalizace smluv podle potřeby, právní mechanismy řešení sporů a arbitráž, volba práva a jurisdikce.

Smlouva o zpracování osobních údajů v mezinárodním podnikání: SCC, BCR, DPF

Ilustrace k sekci «DPA v mezinárodním podnikání: SCC,BCR,DPF» v článku «DPAs a zpracování údajů — jak správně nastavit vztahy s dodavateli»

V EU jsou základní možnosti – SCC, BCR a DPF. SCC lze nasadit rychleji a hodí se pro většinu externích dodavatelů, zatímco binding corporate rules jsou silným nástrojem pro vnitropodnikové převody v rámci skupiny společností, avšak vyžadují čas a zralé řízení (governance). EU‑US DPF usnadnil převody do USA pro certifikované poskytovatele, ale posouzení přenosu dat (DTIA) a dodatečná opatření zůstávají relevantní.
Kdy použít BCR vs SCC vs DPF?

  • BCR – pokud máte velkou skupinu v několika regionech a intenzivní vnitropodnikové převody.
  • SCC – pokud uzavíráte DPA s externím poskytovatelem a potřebujete flexibilitu a rychlost.
  • DPF – když je váš americký dodavatel certifikovaný a chcete snížit zátěž DTIA.

Při přenosu do Asie zohledněte lokální režimy a omezení, stejně jako alternativní záruky. Tým COREDO realizoval hybridní modely, kde pro některé země byly použity SCC, zatímco pro jiné lokální mechanismy s doplňkovým šifrováním a pseudonymizací.

Prověření dodavatelů a audit

Vytváříme hodnocení dodavatele na škále rizik (vendor risk scorecard) ve třech dimenzích: právní rizika (mechanismy přenosu, právní prostředí), technická opatření (šifrování, správa klíčů, IAM, MFA, SOC 2/ISO 27001), operační zralost (BCP/DRP, řízení incidentů, SIEM). Zahrnujeme KPI pro hodnocení bezpečnosti dodavatelů: procento uzavřených zranitelností v termínu, MTTR u incidentů, podíl subdodavatelů s platnou certifikací, shoda s RTO/RPO při testech obnovy.

Kontinuální monitoring budujeme pomocí GRC platforem a integrace CLM (řízení životního cyklu smluv), připojujeme nástroje pro nepřetržitý monitoring dodavatelů a automatizaci kontrol přes API poskytovatelů. Naše zkušenost v COREDO ukázala, že automatizace snižuje provozní náklady a zvyšuje metriky ROI compliance programů díky včasnému odhalení odchylek.

Integrace posouzení vlivu na ochranu osobních údajů (DPIA)/posouzení vlivu přenosu dat (DTIA) a záznamu o činnostech zpracování (RoPA)

Posouzení dopadu na ochranu údajů (DPIA) a DTIA by nemělo být posledním krokem před vydáním. Trvám na zásadách Privacy by Design a Privacy by Default: nejprve provádíme mapování dat a sledování původu dat (data lineage) pro dodavatele, potom klasifikaci dat a minimalizaci, a teprve poté DPIA/DTIA a zavedení kontrol. V RoPA zaznamenáváme operace zahrnující každého dodavatele, včetně subprocesorů a flow-down ustanovení.
Pro vývoj a testování používáme testovací a syntetická data jako alternativu k reálným. To snižuje rozsah rizika a usnadňuje odpovědi na regulační dotazy. V projektech COREDO tato praxe výrazně snižuje náklady na úniky podle metody hodnocení “náklady úniku dat a úspora z kontrolních opatření”.

SLA a metriky odolnosti

Dohody o úrovni služeb (SLA) pro bezpečnost dat musí být měřitelné. Zaznamenáváme:

  • RTO/RPO, MTTR a frekvenci cvičení BCP/DRP;
  • doba zpracování DSAR;
  • lhůty oznámení o narušení dat (v EU, nejpozději do 72 hodin správcem prostřednictvím DPA regulačnímu orgánu, a zpracovatel je povinen informovat správce výrazně dříve);
  • úroveň bezpečnostního servisu a SLA metriky pro správu záplat a kritické zranitelnosti.
Scénáře incidentů popisujeme v postupu reakce na incidenty, přidáváme eskalační tabulky, kontaktní body a formát «penalizačního auditu bezpečnosti dodavatele» při významných odchylkách. Tyto podmínky jsou zakotveny v DPA a hlavní smlouvě s pevnou vazbou na KPI.

BYOK, HSM a IAM v praxi

Šifrování dat v klidu i během přenosu je dnes standard, ale detaily rozhodují o výsledku. Doporučuji BYOK se správou klíčů v HSM a jasnými postupy rotace a odvolání. Pro cloud – věnujte pozornost modelu sdílené odpovědnosti, aby nevznikly nejasnosti ohledně klientské konfigurace IAM, MFA a principu nejmenších oprávnění.

Ve projektech se zvýšenou citlivostí dat používáme pseudonymizaci i anonymizaci, a také oboustranné klíčové politiky s rozdělením odpovědností mezi zákazníkem a poskytovatelem. Praxe COREDO potvrzuje, že taková architektura usnadňuje DTIA pro vysoce rizikové jurisdikce.

Uplatňování DPA: jurisdikce a arbitráž

Mezinárodní smlouvy vyžadují pečlivost:

  • Právní mechanismy řešení sporů a arbitráže sladíme s ohledem na přítomnost v EU/Velké Británii a geografii projektu.
  • Elektronický podpis a multijurisdikční legitimita jsou potvrzovány prostřednictvím příslušných zákonů a repozitářů certifikátů.
  • Překlad a legalizace smluv jsou důležité, pokud je DPA zahrnuto do balíčku pro místního regulátora.
  • Zahrnujeme NDA, omezení odpovědnosti a odškodňovací ustanovení s jasnými limity odpovědnosti (jak minimalizovat odpovědnost v DPA: otázka vyvážení rizik a ceny služby).
  • Pro klienty v EU nabízíme šablonu Data Processing Agreement (šablonu DPA) s adaptací pro místní regulátory (orgány pro ochranu osobních údajů) a doporučeními EDPB/ICO.

Životní cyklus dat: vrácení, mazání, migrace

В DPA требуется четкая политика хранения и удаления данных, а также удаление и возврат данных при окончании отношений. Мы прописываем сроки, формат data portability, обязательства по верификации удаления и протоколы миграции поставщика. Далее по цепочке: субпроцессоры и реестр субподрядчиков обновляются с уведомлением контроллера и правом возражения, особенно если речь о кросс-бордер передаче данных.
Plán odchodu, povinný artefakt. Snižuje závislost na jediném dodavateli a zrychluje přechod při změně licenční strategie nebo umístění infrastruktury v důsledku místních zákonů o uchovávání dat.

Soulad s požadavky na návratnost investic pro představenstvo

  1. metriky souladu: procento vyhovujících dodavatelů a pokrok v nápravě;
  2. náklady z nedodržení předpisů: možné pokuty, odstávky služeb, právní náklady;
  3. KPI pro incidenty: MTTR, úspěšnost obnovovacích testů, plnění RTO/RPO;
  4. metriky ROI compliance programů: snížení pojistného na kybernetické pojištění, zkrácení doby uvedení na trh v nových jurisdikcích, urychlení licencování díky předvídatelnosti procesů.

Tým COREDO vytvořil dashboardy na bázi GRC, které konsolidují stav DPA, DPIA/DTIA, audit dodavatelů dat a reportování pro představenstvo. Je to ten případ, kdy transparentnost přidává rychlost, nikoli byrokracii.

Případy COREDO: DPA, licencování a AML

  • Fintech v Estonsku, který pracuje s platbami v EHP. Vybudovali jsme architekturu na evropských cloudech se SCC pro jednotlivé analytické nástroje mimo EHP, zavedli BYOK a SIEM, vypracovali SLA a MTTR, integrovali zpracování DSAR. Současně jsme aktualizovali AML politiku a poskytovatele KYC, uzavřeli dohodu o zpracování osobních údajů se subprocessory a řetězcem postoupení povinností. Regulátor přijal spis bez dalších kol dotazů.
  • Platební poskytovatel v Singapuru pod PSA (MAS). Klient používal americký SaaS pro antifraud a marketing. Provedli jsme DTIA s ohledem na DPF, zavedli jsme pseudonymizaci marketingových dat, zahrnuli RTO/RPO do DPA a syntetizovali testovací data pro piloty. V důsledku toho bylo získáno schválení partnerské banky a shoda s PDPA v plánovaných termínech.
  • Makléřská společnost na Kypru (CIF) s kancelářemi v Londýně a Dubaji. Vytvořili jsme BCR v rámci skupiny a SCC s externími dodavateli, synchronizovali požadavky UK GDPR, DIFC a kyperského regulátora. Provedli prověrku dodavatele, stanovili KPI pro hodnocení bezpečnosti dodavatelů, zajistili právo na audit a sepsali playbook pro reakci na incidenty. To umožnilo klientovi škálovat provozní model bez opakovaných schválení.
  • Kryptobusiness v Dubaji (VARA). Zavedli jsme přísnou politiku minimalizace dat, zřekli se části subprocessorů s nejasnou lokalizací, zakotvili podmínky vrácení a odstranění dat při ukončení a provedli «postihový bezpečnostní audit» dodavatele po incidentu u jednoho z dodavatelů. Praxe COREDO potvrdila: preventivní opatření a rychlá forenzní analýza chrání licenci a vztahy s regulátorem.

Co zkontrolovat v DPA před podpisem

  • Určení rolí: správce a zpracovatel: rozdíly v povinnostech.
  • Rozsah a účely: klasifikace dat a minimalizace dat.
  • Přenosy: SCC/BCR/DPF, DTIA, Schrems II a dopady na přenosy.
  • Subprocesory: další v řetězci a rejstřík subdodavatelů, ustanovení o přenesení povinností.
  • Bezpečnost: šifrování, BYOK, HSM, IAM, MFA, řízení zranitelností.
  • Certifikace: ISO 27001, SOC 2, PCI DSS pro zpracování platebních karet.
  • SLA: úroveň bezpečnostních služeb a metriky SLA, RTO/RPO, MTTR.
  • Incidenty: oznámení o narušení údajů, postupy pro reakci na incidenty.
  • Práva subjektů: DSAR, RoPA při spolupráci s dodavateli.
  • Vymazání/vrácení: podmínky vrácení a vymazání dat při ukončení smlouvy.
  • Audit: právo na audit a frekvence auditů (na místě/vzdáleně), audit z důvodu porušení.
  • Odpovědnost: omezení odpovědnosti a odškodňovací doložky, kybernetické pojištění.
  • Podpis/právo: elektronický podpis a arbitráž, překlad a legalizace dle potřeby.

Škálování souladu dodavatelů

Podnik roste, počet dodavatelů prudce stoupá. Doporučuji:

  • segmentovat dodavatele podle rizika a používat různé frekvence auditů a hloubku prověrek;
  • centralizovat DPA v CLM a propojit s GRC, nastavit automatizaci monitorování souladu dodavatelů;
  • zavést nástroje pro průběžné monitorování dodavatelů a API-připojení důkazů souladu;
  • školit týmy a subdodavatele, včetně školení a certifikace dodavatelů v oblasti bezpečnosti;
  • stanovit metriky souladu: procento vyhovujících dodavatelů, doba uzavření nápravných opatření, podíl dodavatelů s platnými ISO/SOC.
Řešení vyvinuté v COREDO zahrnuje strategii nápravy, metodiky hodnocení nápravy a potvrzování oprav, a také pravidelné zprávy pro vedení.

DPO při práci s dodavateli

Data Protection Officer – není „hlídač zaškrtávacích políček“, ale koordinátor datové architektury. Do jeho kompetencí patří:

  • integrace DPIA a DTIA do onboardingu dodavatelů;
  • aktualizace RoPA, kontrola mapování dat (data mapping) a původu dat (data lineage);
  • sjednávání DPA a SLA, spolupráce s místními regulátory v oblasti ochrany osobních údajů;
  • příprava na audity a odpovědi na žádosti subjektů (DSAR);
  • koordinace cvičení BCP/DRP a řešení incidentů;
  • používání doporučení EDPB a pokynů ICO při práci s dodavateli.
Naše zkušenost v COREDO ukázala, že zapojení DPO v rané fázi snižuje riziko typických chyb a urychluje komunikaci s regulátory.

Co dělat při úniku dat u dodavatele

Plán opatření by měl být schválen předem:

  • okamžité oznámení správci zpracovatelem, první klasifikace incidentu a aktivace playbooku;
  • technická izolace, forenzní analýza, zhodnocení dotčených kategorií údajů;
  • právní posouzení prahů pro oznámení dotčeným osobám a regulátorovi, příprava oznámení v předepsaných lhůtách;
  • komunikace se zákazníky a partnery podle dohodnutého scénáře;
  • nápravná opatření, potvrzení oprav a «sankční audit» při závažných porušeních;
  • postmortem a aktualizace DPA/SLA, stejně jako KPI pro MTTR a spolehlivost.

Tým COREDO zavedl tyto postupy v několika jurisdikcích, včetně EU a SAE. Po incidentu společnosti získaly nejen obnovení služeb, ale i lepší postavení vůči regulátorům díky transparentnosti a rychlosti.

BCR proti SCC proti DPF v Asii

Klienti se často ptají, kdy používat BCR vs SCC vs DPF. Shrnuji: BCR je strategická volba pro skupiny s rozsáhlými vnitřními datovými toky, SCC: praktický nástroj pro externí dodavatele, DPF: akcelerátor pro USA za předpokladu certifikace. V Asii je důležité brát v úvahu místní omezení týkající se přeshraničních subdodávek a lokalizace dat a zavádět kryptografická opatření, pseudonymizaci a jasnou politiku uchovávání.

Právní rizika používání cloudových dodavatelů v Asii se snižují díky DTIA, dodatečnému šifrování a BYOK, stejně jako výběru datových center v jurisdikcích s dostatečnou úrovní ochrany. Praxe COREDO ukazuje, že kombinovaný přístup nejlépe obstojí při prověrkách regulátorů.

COREDO: DPA, licencování, AML a růst

V licencování platebních a kryptoprojektů paralelizujeme tři toky: právní konfigurace (SCC/BCR/DPF), technická bezpečnost (ISO 27001/SOC 2, BYOK, SIEM, IAM) a AML proces (KYC‑poskytovatelé, transakční monitoring, reporting). Takový přístup zkracuje dobu na odpovědi regulatoru, činí due diligence bankovních partnerů předvídatelným a zjednodušuje škálování na nové trhy – ať už Česko, Slovensko, Kypr, Estonsko, Velká Británie, Singapur nebo Dubaj.

Zákazníci oceňují úsporu času a průhlednost procesů. A jsem si jistý: soulad s požadavky ochrany dat a řízení rizik dodavatelů dat není brzda podnikání, ale hnací síla udržitelného růstu.

Spolehlivý základ mezinárodního růstu

DPA není jen příloha ke smlouvě s poskytovatelem SaaS. Je to řízený systém smluvních, technických a provozních mechanismů, který zajišťuje pevný rámec mezinárodního podnikání, od registrace společnosti v EU až po získání licence v Dubaji a spuštění platebních produktů v Singapuru. Když je dohoda o zpracování osobních údajů podpořena SCC/BCR/DPF, DPIA/DTIA, registrem subdodavatelů, srozumitelnými SLA, RTO/RPO, BYOK a právem na audit, společnost snižuje regulatorní a kybernetická rizika a urychluje vstup na trh.

Tým COREDO za poslední roky dovedl desítky projektů tímto směrem a ví, kde klienti ztrácejí týdny a peníze, a kde naopak získávají díky správné konfiguraci. Pokud potřebujete praktickou, komplexní podporu – od šablon DPA pro evropské klienty až po automatizaci monitorování souladu dodavatelů a integraci AML poskytovatelů do jednotného modelu: já a moji kolegové jsme připraveni se zapojit. Spolehlivá ochrana dat a promyšlená práce s dodavateli: to je investice s jasným ROI, zvlášť v době přeshraničního podnikání a vysokých regulatorních požadavků.

ZANECHTE NÁM KONTAKTNÍ ÚDAJE
A ZÍSKEJTE KONZULTACI

    Kontaktováním nás souhlasíte s tím, že vaše údaje budou použity pro účely zpracování vaší žádosti v souladu s naší Zásadou ochrany osobních údajů.

    COREDO – EU Legal & Compliance Services Expertní právní poradenství, licencování finančních služeb (EMI, PSP, CASP dle MiCA) a AML/CFT compliance v rámci celé Evropské unie. Se sídlem v Praze poskytujeme komplexní regulační řešení v Německu, Polsku, Litvě a ve všech 27 členských státech EU.

    +420 228 886 867

    K Červenému dvoru 3269/25a, Praha, 130 00, Česká republika

    Mapa stránek | llms.txt | © 2026 Copyright © RES JUDICATA s.r.o. Všechna práva vyhrazena.
    Operated by RES JUDICATA s.r.o. (ID: 28548159, VAT: CZ28548159).
    Yur. adresa: Olšanská 2898/4h, 130 00 Praha, Česko