为了确保消费者数据的安全,欧盟(EU)实施了严格的隐私和安全法,称为《通用数据保护条例》(《通用数据保护条例》) 。 《通用数据保护条例》定义并执行欧盟公民对其个人数据的权利。它实施了数据使用的问责制、安全性和透明度标准。

在欧盟运营或处理来自欧盟的个人数据的跨国公司需要了解《通用数据保护条例》将如何影响他们以及如何保持《通用数据保护条例》的合规性。

合规的一个方面是执行数据处理协议 (DPA)。《通用数据保护条例》数据处理协议规定了与数据处理活动相关的细节、规则、权利和义务。 它有助于确保公司合规、保障数据安全,并保护消费者权益,让消费者满意。

本指南将详细介绍数据保护协议 (DPA) 的运作方式以及 DPA 中应包含的内容。

什么是《通用数据保护条例》下的DPA?

数据处理协议是数据控制者与将处理其数据的数据处理者之间签订的合同。完全符合《通用数据保护条例》要求。

数据处理协议规定了将要进行的处理的性质、目的和持续时间。它还具体规定了要处理的个人数据类型以及数据所属的个人类别。它界定了控制者享有的权利和承担的义务。它可以规定必须采用的技术安全措施,例如一定级别的加密。

数据处理协议具有法律约束力,数据控制者和处理者必须遵守该协议,否则将面临严重的法律后果。

数据保护协议的主要好处是确保数据处理者的资格和可靠性。公司需要知道他们的数据是否被妥善保管,是否私密安全,是否被窥探。DPA 有助于提供这些保证。

《通用数据保护条例》及其DPA要求很可能对未来的经营活动产生重大影响。 随着个人数据收集受到更多限制,有关数据收集和存储的沟通变得至关重要,商业交易可能会发生变化,第三方供应商关系需要更严格的合同。个别公司及其人力资源部门在调整流程以符合《通用数据保护条例》要求时将感受到广泛的影响。

《通用数据保护条例》要求的好处在于,随着人们对自身数据的隐私和保护更有信心,商业中的信任可能会蓬勃发展。

什么情况下需要数据处理协议?

您需要数据处理协议吗?如果您处理来自欧盟境内或欧盟境内的个人数据,则可能需要这样做。

根据《通用数据保护条例》,当个人或组织向第三方服务提供商提供个人数据以进行协作服务时,必须签署数据保护协议。 任何作为数据处理者的各方都必须与数据控制者签署数据处理协议。

例如,在欧盟,网站托管服务商必须与网站所属公司签署数据处理协议 (DPA)。处理个人数据以提供有针对性的消费者营销的公司也必须签署数据处理协议。

以下是一些其他需要数据保护协议的常见业务服务和场景:

  • 电子邮件管理外包
  • 财务和薪资会计的技术数据处理解决方案
  • 数据备份服务,无论是通过物理服务器还是云端。
  • 通过外部服务提供商进行数据收集或数字化
  • 处置包含敏感数据的旧硬件

在某些情况下,《通用数据保护条例》可能要求欧洲以外的公司拥有 DPA。 只要涉及欧盟数据,就必须遵守这项要求。例如,如果一家位于加拿大的公司处理有关欧盟公民的数据,则该公司可能受《数据保护法》的约束。

什么情况下不需要 DPA?

当不需要数据保护协议时,表格中包含合作伙伴关系、门户服务、收款机构以及来自多家公司的联合数据管理。

有几种特殊情况不需要 DPA。它们具有内置保护功能,因此无需 DPA 保护。请考虑以下事项,以便更好地了解贵公司在这些情况下的义务:

  1. 与有保密要求的专业团体合作:在许多行业,最佳做法是服务提供商签订针对特定行业的定制保密协议,其中涵盖 DPA 要求的所有安全措施和隐私要求。通常使用这些保密协议的行业包括法律、税务咨询和财务审计。许多医疗保健服务通常也有自己严格的保密保证。
  2. 门户服务:仅连接人或实体的服务通常不受数据保护法 (DPA) 的要求约束。这些专业婚介服务非常短暂,因此签署数据保护协议几乎没有任何好处。例如,招聘人员就属于这一类。他们只是将求职者和正在寻找优秀新团队成员的公司联系起来。在这种情况下,与招聘人员签订数据保护协议是不必要的。
  3. 与债务催收机构合作:债务催收机构可以获取个人财务信息和医疗信息。由于催收机构与原债权人是分开的,并且催收债务是为了自身利益,因此它们不受《暂缓偿付法》的约束。如果催收机构是代表原债权人行事,则需要签署延期付款协议 (DPA)。
  4. 多家公司联合管理数据:在某些情况下,公司作为一个集团来管理数据集合。当公司可以共同访问来自供应商、产品或销售线索的数据时,往往会出现这种情况。虽然这些公司可能是竞争对手,但它们使用相同的数据来达到相同的一般目的。这种数据使用的规模通常意味着 DPA 不是强制性的。
  5. 临床试验:大规模临床药物试验通常不使用DPA,因为DPA涉及众多参与者。医生、研究中心和赞助商都可以访问受试者数据,并且他们会根据自己的需要以不同的方式处理这些数据。收集到的数据通常在整个临床试验中用于各种用途。在这种情况下,暂缓执行协议通常不适用。

谁是数据控制者?

每份 DPA 协议都是在数据控制者和数据处理者之间签订的。数据控制者是决定如何以及为何处理个人数据的组织或个人。如果贵公司决定将数据发送给第三方进行服务器备份,则贵公司是数据控制者。

数据控制者的决定性特征是决策权。 数据控制者对收集数据的原因和处理个人数据的方式做出总体决定。

在大多数情况下,公司或组织是数据控制者。数据处理方是与公司签订合同的独立实体。如果个人(例如个体经营者或自雇人士)对个人数据的收集和处理做出决定,那么该个人也可能是数据控制者。

谁是数据处理者?

数据处理者是代表数据控制者处理数据的第三方。在上述场景中,如果您的公司决定将数据发送到外部进行备份,那么提供备份服务的公司就是数据处理者。

数据处理者可以有多种形式。它可以是公司、个人或公共机构。相关标准是该个人或实体是否代表数据控制者处理数据。

DPA 文件包括哪些内容?

《通用数据保护条例》第28条至36规定了《通用数据保护条例》DPA规则下数据处理者必须承担的合同义务。 以下是数据保护协议(DPA)的部分必要条款:

1.对数据处理细节的全面分解

DPA 应全面详细地说明数据处理的各个方面。DPA 应包括有关以下主题的明确信息

  • 处理的个人数据类型
  • 数据的主题
  • 数据主体的类别
  • 处理的目的和性质
  • 数据处理的预期持续时间
  • 个人数据处理的法律依据
  • 处理结束后个人数据的返还或删除

2.数据控制者和处理者的权利和责任

DPA 确保明确由谁控制数据的处理。

通过明确双方的权利和责任,数据处理协议确保了谁控制数据处理这一点的清晰性。

数据保护法应明确规定,数据处理者必须按照数据控制者的意愿和规范进行数据处理。它应该明确规定,控制器(而不是处理器)对数据及其处理方式拥有完全控制权。

DPA 应指示数据处理者仅按照数据控制者的直接指示处理数据,只有在欧盟法律或某个成员国的法律要求时才可偏离这些指示。

3.要求数据处理者采取的保密措施

DPA 应规定数据处理者应遵循的规程,以确保个人数据的保密性。

例如,数据处理者必须要求正式员工、临时员工和分包商在开始处理个人数据之前签署保密协议。只有当法律义务已经要求处理者确保保密性时,保密协议才变得没有必要。

4.信息安全所需的技术和组织协议

数据保护协议应概述数据处理者必须实施的安全措施,包括在适当情况下采取以下措施:

  • 数据加密
  • 数据主体化名
  • 确保所有数据处理系统的数据机密性、可用性、弹性和安全性的协议
  • 攻击或数据泄露后恢复个人数据访问权限的流程
  • 测试和评估所有安全措施有效性的定期计划

许多处理器可能希望获得正式认证或制定官方行为准则,以证明其已实施的协议。诸如此类的措施有助于保证其数据处理完全符合《通用数据保护条例》。

5.分包合同条款

DPA 还应概述数据处理者必须对其分包商实施的要求。例如,处理器必须确保遵守这些规则和最佳做法:

  • 只有在数据控制者明确同意和授权的情况下才能雇用分包商
  • 起草和签署合同,对分包商规定与数据处理者本身必须遵守的相同的数据安全要求
  • 确保分包商遵守数据保护要求
  • 如涉及分包商的任何变更,应通知数据控制者,并给予控制者时间作出回应。

6.数据处理者的合作义务

数据处理者还必须允许数据控制者在处理过程中进行合规性审核。

DPA 应规定数据处理者必须与数据控制者合作的时间和方式。例如,数据处理者必须合作帮助解决数据访问请求。处理者还必须配合保护数据主体的隐私和权利,特别是满足这些要求:

  • 确保个人数据安全
  • 及时通知有关当局和数据主体个人数据泄露事件
  • 根据需要进行数据保护影响评估 (DPIA)。
  • 当出现严重的数据风险时,向有关当局咨询

数据处理者还必须允许数据控制者在处理过程中进行合规性审计。在审计期间,处理者必须及时向控制者提供所有相关信息,以证明其已履行《通用数据保护条例》第28条规定的合规义务。

处理者的最佳做法还包括保存其处理活动的记录,以证明其遵守《通用数据保护条例》。

根据数据保护协议,数据泄露后会发生什么?

如果发生数据泄露,相关公司需要立即采取具体行动。如果违规行为造成严重风险,贵公司必须在72小时内通知相关监管机构

如果数据泄露对受影响人员构成极高的风险,贵公司通常也必须通知这些人员。但是,如果贵公司已经制定了有效的技术和组织风险缓解方案,则可能无需发出通知。

例如,假设一家信用卡公司由于存储数据的服务器遭到攻击而遭受数据泄露。其客户的个人财务信息已遭泄露。他们的姓名、家庭住址、其他联系方式、财务详情以及信用卡付款类型详情均已公开。

托管服务器的公司需要在72小时内通知有关部门此次安全漏洞事件。它还需要通知信用卡公司。

该公司可能需要告知消费者,因为泄露他们的个人身份信息可能会使他们面临风险。如果消费者用信用卡支付了医疗费用,那么漏洞还可能导致消费者受保护的敏感健康信息被披露。

不遵守《通用数据保护条例》的处罚是多少? 

如果发生数据泄露事件,被发现不合规的公司将受到纪律处分。可能的违规行为只会受到警告。经确认的违规事件可能受到以下一项或多项处罚:

  1. 正式训诫
  2. 暂时或永久禁止数据处理
  3. 罚款金额最高可达20万欧元或公司全球年度总收入的4 %。

通过G-P为您的团队聘请数据安全专家。

当您组建专注于数据安全的国际化团队时,请与G-P合作。 我们的专业团队可以帮助您了解适用于贵公司的数据处理协议法规。

团队中拥有数据保护官和其他法律专业人员对于保持数据保护法合规性至关重要。作为一家全球专业雇主), G-P帮助您招聘并支付成功所需的国际化人才。 我们非常重视数据隐私,我们可以帮助您遵守当地劳动法,并在您公司走向国际化的过程中保护您的机密信息。

在G-P ,我们帮助您加快招聘流程。 使用我们的全栈全球雇佣平台,您只需点击几下即可招聘和加入新的团队成员,从而节省时间并简化您应对国际化公司增长挑战的方法。

立即索取建议书,或联系我们,了解通过我们的平台聘用数据安全专业人员的事宜。