為了確保消費者資料的安全,歐盟 (EU) 已實施一項嚴格的隱私和安全法律,稱為 一般資料保護規範  (GDPR)。 GDPR 定義並執行歐盟公民對其 個人資料的權利。 它實施了使用資料時的責任制、安全性和透明度標準。

在歐盟營運或處理歐盟個人資料的全球公司,需要瞭解  GDPR 將如何影響他們 ,以及如何維持 GDPR 的合規性。

該合規性的一個方面是實施 資料處理協議  (DPA)。  GDPR 資料處理協議 規定了與資料處理活動相關的詳細資料、規則、權利和義務。 它有助於確保公司的合規性、安全的資料,並保護消費者的權益和滿意度。

本指南詳細介紹延期起訴協議的運作方式以及延期起訴協議中應包含 的內容。

根據 GDPR ,什麼是 DPA?

資料處理協議是資料管控者與資料處理 者之間簽訂的合約 ,資料處理者將負責處理他們的資料。 這是完全符合 GDPR 規範的必要條件。

DPA 列出將要進行的處理活動的性質、目的和持續時間。 它還指定要處理的個人資料類型以及資料所屬的個人類別。 它定義了控制者將擁有的權利和義務。 它可以指定技術安全措施的使用,例如必須採取的特定加密等級。

DPA 具有法律約束力,資料控制者和處理者必須遵守該協議或承擔嚴厲處罰的風險。

DPA 的主要優點是確保資料處理者的資格和可靠性。 公司需要知道他們的資料掌握在良好的手中,而且資料是隱私的,而且不會遭到窺探。 DPA 協助提供這些保證。

GDPR 及其  DPA 要求 可能對未來的業務營運造成重大影響。 隨著個人資料收集的有限度,商業交易可能會發生變化,有關資料收集和儲存的通訊變得至關重要,而第三方供應商關係需要更嚴格的合約。 個別公司及其人力資源部門在調整其流程以符合 GDPR 要求時,將感受到巨大的影響。

GDPR 要求的缺點是,隨著人們對其資料的隱私和保護更加有信心,信任可能會在企業中蓬勃發展。

何時需要資料處理協議?

您是否需要資料處理協議?如果您在歐盟境內或境外處理個人資料, 您可以這麼做。

根據 GDPR,每當個人或組織將個人資料提供給第三方服務供應商以進行合作服務時, 都必須提供  DPA 文件。 作為資料處理方的各方必須與 資料控制方簽署 DPA。

例如,在歐盟,託管網站的服務必須與網站所屬的公司簽署 DPA。 處理個人資料以提供目標消費者行銷的公司也必須簽署 DPA。

以下是幾個其他需要 DPA 的常見商業服務和情境:

  • 電子郵件管理外包
  • 財務和薪資會計的技術資料處理解決方案
  • 透過實體伺服器或雲端的資料備份服務
  • 透過外部服務供應商進行資料收集或數位化
  • 處置包含敏感資料的舊硬體

在某些情況下,GDPR 可以要求歐洲以外的公司 提供 DPA。 每當涉及歐盟資料時,這項要求就會發揮作用。 例如,位於加拿大的公司如果處理有關歐盟公民的資料,則可能要遵守 DPA 規定。

何時不需要 DPA?

若干特定情境不需要 DPA。 它們內建保護功能,使 DPA 保護變得不必要的。 請考慮以下幾點,以便更瞭解貴公司在這些情況下的義務:

  1. 與具有保密要求的專業團體合作:在許多行業中,最佳作法是讓服務提供商簽訂行業特定的自訂保密協議,涵蓋 DPA 要求的所有安全措施和隱私要求。 通常使用這些保密協議的一些專業包括法律、稅務諮詢和財務審計。 許多醫療保健服務通常也都有嚴格的保密保證。
  2. 入口網站服務:僅連結個人或實體的服務通常不受 DPA 要求限制。 這些專業配對服務是臨時性的,因此 DPA 幾乎沒有好處。 例如,招聘人員屬於此類別。 他們只是將尋求工作的人與尋找優秀新團隊成員的公司聯繫在一起。 此情境使招聘人員不需要 DPA。
  3. 與債務催收機構合作:債務催收機構可以存取個人財務資訊和醫療資訊。 由於催收機構與原始債權人分開,為自身利益催收債務,因此免除延期起訴協議要求。 如果他們代表原始債權人工作,收帳機構將需要簽署 DPA。
  4. 來自多家公司的聯合資料管理:在某些情況下,公司會作為一個集團來管理資料收集。 當公司能夠共同存取供應商、產品或銷售主管的資料時,就會發生這種情況。 雖然這些公司可能是競爭對手,但他們也為了相同的一般目的使用相同的資料。 此資料使用的規模通常表示 DPA 並非強制性。
  5. 臨床試驗: 大型臨床試驗通常不會使用 DPA,因為他們需要許多貢獻者。 醫師、研究中心和試驗委託者都可以存取受試者資料,而且他們都能夠根據自己的需求以不同的方式處理。 所收集的資料通常也在整個臨床試驗期間用於各種目的。 在這些情況下,DPA 通常不適用。

誰是資料管控者?

每個 DPA 協議都是在資料管控者和資料處理者之間進行。 資料控制者是決定處理個人資料的方式和原因的組織或個人。 如果貴公司決定將資料傳送給第三方,以便在其伺服器上進行備份,貴公司就是資料控制者。

資料管控者的定義特徵是決策權。 資料管控者對資料收集的原因以及 處理個人資料的方式做出了總體決定 。

在大多數情況下,公司或組織是資料控制者。 資料處理者是與公司簽訂合約的獨立實體。 如果個人決定收集和處理個人資料,例如獨資經營者或自僱工作者,也可以是資料控制者。

誰是資料處理者?

資料處理者是為資料管控者處理資料的第三方。 在上述情境中,如果您的公司決定將資料送出進行備份,則提供備份服務的公司就是資料處理者。

資料處理者可以採用多種形式。 可能是公司、個人或公共機構。 相關標準是該個人或實體是否代表資料管控者處理資料。

DPA 文件包括哪些內容?

GDPR 條款規定, 根據 GDPR 28-36的  DPA 規則,資料處理者必須承擔哪些合約義務。 以下是一些必要的  DPA 條款:

1. 資料處理細節的徹底細分

DPA 應提供關於資料處理各方面的全面詳情。 DPA 應包含以下主題的明確資訊:

  • 要處理的個人資料類型
  • 資料的主題
  • 資料主體的類別
  • 處理的目的和性質
  • 資料處理的預期持續時間
  • 個人資料處理的法律依據
  • 在處理結束時歸還或刪除個人資料

2. 資料控制者和處理者的權利和責任

DPA 在為雙方指定權利和責任時,可確保清楚瞭解誰控制了資料處理。

DPA 應明確聲明資料處理者必須根據資料控制者的願望和規格執行處理。 它應該指定控制器,而不是處理器,對資料及其發生的情況保持完全控制。

DPA 應指示資料處理者僅根據資料控制者的直接指示處理資料,且僅在歐盟法律或其中一個成員國法律要求時,才偏離這些指示。

3. 資料處理者所需的保密措施

DPA 應指定資料處理者應遵循的通訊協定,以確保個人資料的機密性。

例如,資料處理者必須要求永久員工、臨時員工和分包商簽署保密協議,然後才能開始處理個人資料。保密協議才會變得不必要的 ,只有法定義務已經要求處理者確保保密。

4. 資訊安全所需的技術和組織通訊協定

DPA 應概述資料處理者必須實施的安全措施,包括適當時採取的類似措施:

  • 資料加密
  • 資料主體擬匿名化
  • 確保所有資料處理系統的資料機密性、可用性、彈性和安全性的協定
  • 攻擊或入侵後恢復個人資料存取的流程
  • 測試和評估所有安全措施有效性的定期計劃

許多處理者可能希望獲得正式認證或制定正式的行為準則,證明其實施的協議。 這類措施有助於確保其資料處理完全符合 GDPR。

5. 任何分包商合約的條款

DPA 還應概述資料處理者必須對其分包商施加的要求。 例如,處理器必須確實遵守這些規則和最佳實務:

  • 僅在資料控制者明確同意和授權的情況下聘用分包商
  • 起草和簽署合約,對分包商實施資料處理者本身必須遵守的相同資料安全要求
  • 確保分包商遵守資料保護要求
  • 將涉及分包商的任何變更通知資料控制者,並讓控制者有時間回應

6. 資料處理者的合作義務

DPA 應指定資料處理者何時及如何與資料控制者合作。 例如,資料處理者必須合作,協助解決資料存取要求。 處理者也必須配合保護資料主體的隱私和權利,尤其是符合以下要求者:

  • 確保個人資料安全
  • 立即通知主管機關和資料當事人個人資料洩露事件
  • 視需要執行資料保護影響評估 (DPIA)
  • 發生嚴重資料風險時,請諮詢相關主管機關

資料處理者還必須允許資料控制者在處理期間執行合規稽核。 在稽核期間,處理者必須立即向控制者提供所有相關資訊,以證明其已履行 GDPR 第 28 條所規定的合規義務。

處理者亦應保留其處理活動的記錄,以證明其遵守 GDPR。

根據 DPA 發生資料外洩後,會發生什麼事?

如果發生資料外洩事件,相關公司需要採取具體的立即行動。  如果資料外洩帶來嚴重風險,貴公司必須在 小時內 通知相關監管機關72

如果資料外洩事件對受影響的人造成極高的風險,您的公司通常也必須通知這些人。 但是,如果您的公司已經有有效的技術和組織風險緩解方案,則可能不需要通知。

例如,假設某信用卡公司因為資料儲存所在伺服器遭到攻擊而遭到資料外洩。 其客戶的個人財務資訊已遭洩漏。 他們的姓名、住家地址、其他聯絡資訊、財務詳細資料,以及他們使用信用卡支付款項類型的詳細資料,都已公開。

代管伺服器的公司必須在72數小時內通知主管機關此資料外洩事件。 也需要通知信用卡公司。

公司可能需要告知消費者,因為披露他們的個人識別資訊可能會使他們面臨風險。如果消費者使用信用卡支付醫療款項, 則洩露事件還可能導致消費者敏感、受保護的健康資訊被披露。

不遵守 GDPR 會受到哪些懲罰? 

如果發生資料外洩事件,被發現不合規的公司將受到紀律處分。 可能的違規只是收到警告。 經確認的違規事件可能會受到下列一項或多項處罰:

  1. 正式的譴責
  2. 暫時或永久禁止資料處理
  3.  最高罰款達 00 萬歐元20或公司全球總年收入的 4 %

透過 Globalization Partners 聘僱資料安全專業人員給您的團隊

當您在建立專注於資料安全的國際團隊時,請與 Globalization Partners 合作。 我們的專業團隊可協助您瞭解 適用於貴公司的 資料處理協議法規。

您的團隊中擁有資料保護官員和其他法律專業人員對於保持  DPA 合規性至關重要。 作為全球名義雇主 (EOR),Globalization Partners 幫助您聘用和支付成功所需的國際人才。 我們非常重視資料隱私,而且在您擴展公司國際規模時,我們可以協助您遵守當地的勞動法並保護您的機密資訊。

在 Globalization Partners,我們幫助您加快招聘流程。 使用我們的 全方位Global Employment Platform,您只需按幾下滑鼠,即可聘用和入職您的新團隊成員,節省時間,並簡化您應對國際公司增長挑戰的方法。

立即申請提案 ,或 聯絡我們 ,瞭解如何透過我們的平台聘僱資料安全專業人員。

 

喜歡閱讀嗎?
與我們聯絡