为了保证消费者数据的安全,欧盟 (EU) 实施了严格的隐私和安全法律,称为 通用数据保护条例  (GDPR)。 GDPR 定义并执行欧盟公民对其 个人数据的权利。 它在使用该数据时实施了问责制、安全和透明度标准。

在欧盟运营或处理欧盟个人数据的全球公司需要了解  GDPR 将如何影响他们 以及如何保持 GDPR 合规性。

该合规性的一个方面是实施 数据处理协议  (DPA)。  GDPR 数据处理协议 规定了与数据处理活动相关的细节、规则、权利和义务。 它有助于确保公司的合规性,保护数据,并保护消费者并使其满意。

本指南详细介绍了 DPA 的工作原理以及 DPA 中应包含 的内容。

GDPR  下的 DPA 是什么?

数据处理协议是数据控制者与 处理其 数据的数据处理者之间签署的合同。 完全符合 GDPR 要求。

DPA 列出了将要进行的处理活动的性质、目的和持续时间。 它还指定了要处理的个人数据类型和数据所属的个人类别。 它定义了控制者将拥有的权利和义务。 它可以指定必须采取的技术安全措施的使用,例如一定程度的加密。

DPA 具有法律约束力,数据控制者和处理者必须遵守该协议或面临严厉处罚的风险。

DPA 的主要好处是确保数据处理者的资格和可靠性。 公司需要知道他们的数据掌握在良好的手中,并且它是私密的,免受窥探。 DPA 有助于提供这些保证。

GDPR 及其  DPA 要求在未来 可能对业务运营产生重大影响。 随着个人数据收集越来越有限,关于数据收集和存储的沟通变得至关重要,并且第三方供应商关系需要更严格的合同,业务交易可能会发生变化。 个人公司及其人力资源部门在调整其流程以符合 GDPR 要求时将感受到广泛的影响。

GDPR 要求的优点是,随着人们对数据的隐私和保护更加自信,信任在商业中可能会蓬勃发展。

何时需要签订数据处理协议?

您是否需要数据处理协议?如果您在欧盟境内或从欧盟处理个人数据, 您可以这样做。

根据 GDPR,当个人或组织向第三方服务提供商提供个人数据以进行协作服务时, 必须提供  DPA 文件。 任何作为数据处理方的各方都必须与 数据控制方签署 DPA。

例如,在欧盟,托管网站的服务必须与网站所属公司签署 DPA。 处理个人数据以提供有针对性的消费者营销的公司还必须签署 DPA。

以下是需要 DPA 的几种其他常见业务服务和场景:

  • 电子邮件管理外包
  • 财务和工资核算的技术数据处理解决方案
  • 通过物理服务器或在云中提供数据备份服务
  • 通过外部服务提供商进行数据收集或数字化
  • 处置包含敏感数据的旧硬件

在某些情况下,GDPR 可能要求欧洲以外的公司 提供 DPA。 无论何时涉及欧盟数据,这一要求都会发挥作用。 例如,如果位于加拿大的公司处理有关欧盟公民的数据,则可能受 DPA 要求的约束。

何时不需要 DPA?

几个特定场景不需要 DPA。 它们具有内置保护,使得 DPA 保护变得不必要的。 考虑以下几点,以便您更好地了解贵公司在这些情况下的义务:

  1. 与具有保密要求的专业团体的合作:在许多行业中,最佳做法是让服务提供商制定行业特定的定制保密协议,涵盖 DPA 要求的所有安全措施和隐私要求。 一些通常使用这些保密协议的职业包括法律,税务咨询和财务审计。 许多医疗保健服务通常也附带了他们自己的严格保密保证。
  2. 门户服务:仅连接人员或实体的服务通常不受 DPA 要求的约束。 这些专业的配对服务是如此短暂,以至于DPA几乎没有好处。 例如,招聘人员属于这一类别。 他们只是将寻找工作的人与寻找有才华的新团队成员的公司联系起来。 这种情况使得与招聘人员的 DPA 变得不必要的。
  3. 与债务催收机构合作:债务催收机构可以访问个人财务信息和医疗信息。 由于收款机构与原始债权人分开,为自身利益收取债务,因此他们不受 DPA 要求的约束。 如果他们代表原始债权人工作,收款机构将需要签署 DPA。
  4. 来自多家公司的联合数据管理:在某些情况下,公司作为一个小组来管理数据收集。 当公司可以联合访问供应商、产品或销售线索的数据时,通常会出现这种情况。 虽然这些公司可能是竞争对手,但他们出于相同的一般目的使用相同的数据。 此数据使用的规模通常意味着 DPA 不是强制性的。
  5. 临床试验: 大型临床试验通常不会使用 DPA,因为它们需要大量贡献者。 医生、研究中心和申办方都可以访问受试者数据,并且他们都根据他们的需求以不同的方式处理。 所收集的数据通常在整个临床试验期间也用于各种目的。 在这些情况下,DPA 通常不适用。

谁是数据控制者?

每个 DPA 协议均在数据控制者和数据处理者之间进行。 数据控制者是决定如何处理个人数据以及为什么处理个人数据的组织或个人。 如果贵公司决定将数据发送给第三方,以便在其服务器上进行备份,则贵公司是数据控制者。

数据控制者的定义特征是决策权。 数据控制者对数据收集的原因和个人数据的 处理方式做出了总体决定 。

在大多数情况下,公司或组织是数据控制者。 数据处理者是与公司签订合同的独立实体。 如果个人对收集和处理个人数据做出决定,诸如独资经营者或自雇工人等个人也可能是数据控制者。

谁是数据处理者?

数据处理者是为数据控制者处理数据的第三方。 在上述场景中,如果您的公司决定将您的数据发送出去进行备份,则提供备份服务的公司是数据处理者。

数据处理者可以采取多种形式。 可以是公司、个人或公共机构。 相关标准是该个人或实体是否代表数据控制者处理数据。

DPA 文件包括哪些内容?

GDPR 28-36的章程规定了根据  GDPR 的  DPA 规则,数据处理者必须承担哪些合同义务。 以下是一些必要的  DPA 条款:

1. 数据处理详情的全面细分

DPA 应全面详细说明数据处理的各个方面。 DPA 应包含有关以下主题的明确信息:

  • 要处理的个人数据类型
  • 数据的主题
  • 数据主体的类别
  • 处理的目的和性质
  • 数据处理的预期持续时间
  • 个人数据处理的法律依据
  • 处理结束时返回或删除个人数据

2. 数据控制者和处理者的权利和责任

在规定双方的权利和责任时,DPA 确保明确谁控制数据处理。

DPA 应明确说明数据处理者必须根据数据控制者的意愿和规范进行处理。 它应该指定控制器,而不是处理器,保留对数据的完全控制,以及数据会发生什么。

DPA 应指示数据处理者仅根据数据控制者的直接指示处理数据,仅在欧盟法律或某个成员国法律要求时偏离这些指示。

3. 数据处理者所需的保密措施

DPA 应指定数据处理者应遵循的协议,以确保个人数据的机密性。

例如,数据处理者必须要求永久雇员、临时雇员和分包商签署保密协议,然后才能开始处理个人数据。保密协议变得不必要的 唯一时间是法定义务已经要求处理者确保机密性。

4. 信息安全所需的技术和组织协议

DPA 应概述数据处理者必须实施的安全措施,包括适当时采取的此类措施:

  • 数据加密
  • 数据主体假名化
  • 确保所有数据处理系统的数据机密性、可用性、弹性和安全性的协议
  • 攻击或泄露后恢复访问个人数据的流程
  • 测试和评估所有安全措施有效性的定期计划

许多处理者可能希望获得正式认证或制定官方行为准则,以证明其实施的协议。 此类措施有助于确保其数据处理完全符合 GDPR。

5. 任何分包商合同的条款

DPA 还应概述数据处理者必须对其分包商提出的要求。 例如,处理器必须确保遵守以下规则和最佳实践:

  • 仅在获得数据控制者明确同意和授权的情况下雇用分包商
  • 起草和签署对分包商施加数据处理者自身必须遵守的相同数据安全要求的合同
  • 确保分包商遵守数据保护要求
  • 将涉及分包商的任何变更告知数据控制者,并给控制者时间做出回应

6. 数据处理者的合作义务

DPA 应指定数据处理者何时以及如何与数据控制者合作。 例如,数据处理者必须合作以帮助解决数据访问请求。 处理者还必须配合保护数据主体的隐私和权利,特别是满足以下要求:

  • 确保个人数据安全
  • 及时通知当局和数据主体个人数据泄露
  • 根据需要执行数据保护影响评估 (DPIA)
  • 出现严重数据风险时咨询相关部门

数据处理者还必须允许数据控制者在处理过程中执行合规性审计。 在审计期间,处理者必须及时向控制者提供所有相关信息,以表明其已履行其在 GDPR 28 条款下的合规义务。

处理者还应保留处理活动的记录,以证明其遵守 GDPR。

根据 DPA 发生数据泄露后会发生什么?

如果发生数据泄露,相关公司需要立即采取具体行动。 如果 违规行为造成严重风险,贵公司必须在 小时内 通知相关监管机构72

如果违规行为对受影响的人构成非常高的风险,贵公司通常也必须通知这些人。 但是,如果您的公司已经制定了有效的技术和组织风险缓解协议,则可能不需要通知。

例如,想象一下,一家信用卡公司由于对存储数据的服务器的攻击而遭受了数据泄露。 其客户的个人财务信息已受到损害。 他们的姓名、家庭住址、其他联系信息、财务详情以及信用卡付款类型的详情均已公开。

托管服务器的公司需要在72几小时内将违规行为通知当局。 它还需要通知信用卡公司。

该公司可能需要通知消费者,因为披露其个人身份信息可能会使他们面临风险。如果消费者使用信用卡支付医疗费用, 违规还可能导致披露其敏感、受保护的健康信息。

不遵守 GDPR 会受到哪些处罚? 

如果发生数据泄露,被发现不合规的公司将受到纪律处分。 可能的违规行为只是收到警告。 确认的不合规事件可能会受到以下一项或多项处罚:

  1. 正式的谴责
  2. 暂时或永久禁止数据处理
  3.  罚款高达 百万欧元20或公司年度全球总收入的 4%

与Globalization Partners一起为您的团队聘用数据安全专业人员

当您建立专注于数据安全的国际团队时,请与Globalization Partners合作。 我们的专业团队可以帮助您了解 适用于贵公司的 数据处理协议法规。

让数据保护官和其他法律专业人士加入您的团队对于保持  DPA 合规性至关重要。 作为全球登记雇主 (EOR),Globalization Partners 可帮助您招聘和支付成功所需的国际人才。 我们非常重视数据隐私,我们可以帮助您遵守当地劳动法,并在您在全球范围内扩展公司规模时保护您的机密信息。

在 Globalization Partners,我们帮助您加快招聘流程。 使用我们的 全栈Global Employment Platform,您只需点击几下鼠标,即可招聘和引导您的新团队成员,节省时间,并简化您应对国际公司发展挑战的方法。

立即申请提案 ,或 联系我们 ,了解通过我们的平台招聘数据安全专业人员。

 

喜欢读这个吗?
联系我们