為了確保消費者資料的安全,歐盟 (EU) 實施了嚴格的隱私和安全法,稱為一般資料保障條例 (一般資料保障條例) 。 一般資料保障條例定義並執行歐盟公民對其個人資料的權利。它實施了使用該資料時的問責性、安全性和透明度標準。

在歐盟運營或處理來自歐盟的個人資料的全球公司需要了解通用資料保障條例將如何影響他們以及如何維持通用資料保障條例合規性。

合規的其中一個方面是執行資料處理協議 (DPA)。通用資料保障條款資料處理協議規定了與資料處理活動相關的細節、規則、權利和義務。 它有助於確保公司合規、保障資料安全,並保護消費者權益,讓消費者滿意。

本指南將詳細介紹 DPA 的運作方式以及 DPA 應包含的內容。

什麼是一般資料保障條例下的 DPA?

資料處理協議是資料控制者與將會處理其資料的資料處理者之間所簽訂的合約。這是完全遵守一般資料條例所必需的。

DPA 列明將進行的處理活動的性質、目的和期限。它還規定了要處理的個人資料類型以及資料所屬的個人類別。它定義了控制者將擁有的權利和義務。它可以指定必須使用的技術安全措施,例如一定程度的加密。

資料處理協議具有法律約束力,資料控制者和處理者必須遵守該協議,否則將面臨嚴重的法律後果。

DPA 的主要好處是確保資料處理者的資格和可靠性。公司需要知道他們的資料是否被妥善保管,以及資料的私密性和安全性是否受到窺探。DPA 有助於提供這些保證。

通用資料保障條例及其 DPA 要求可能會對未來的商業運作產生重大影響。 隨著個人資料收集受到更多限制,有關資料收集和儲存的溝通變得至關重要,商業交易可能會發生變化,第三方交易關係需要更嚴格的合約。各公司及其人力資源部門在調整其流程以符合一般資料保障法規要求時將感受到廣泛的影響。

一般資料保障規範要求的好處在於,隨著人們對自身資料的隱私和保護越來越有信心,商業中的信任可能會蓬勃發展。

何時需要資料處理協議?

您需要資料處理協議嗎? 如果您在歐盟境內或從歐盟處理個人資料,則可以。

根據《一般資料保障條例》,當個人或組織向第三方服務提供者提供個人資料以進行協作服務時,必須提供資料保護協議文件。 任何作為資料處理者的方都必須與資料管制者簽署 DPA。

例如,在歐盟,網站託管服務商必須與網站所屬公司簽署資料處理協議 (DPA)。處理個人資料以提供有針對性的消費者行銷的公司也必須簽署資料處理協議。

以下是其他幾種常見的商業服務與情境,需要申請延期起訴協議(DPA):

  • 郵件管理外判
  • 財務和薪資會計的技術資料處理解決方案
  • 透過實體伺服器或雲端提供資料備份服務
  • 透過外部服務供應商進行資料收集或數位化
  • 含有敏感資訊的舊硬體的處置資訊

在某些情況下,通用資料保障條例可能要求歐洲以外的公司提供 DPA。 只要涉及歐盟資料,這項規定就會生效。例如,如果一家位於加拿大的公司處理有關歐盟公民的數據,則該公司可能受《資料保護法》的約束。

何時不需要 DPA?

當不需要 DPA 時,表格包括合作夥伴、入口網站服務、催收機構,以及多家公司共同管理資料。

有幾種特定情況不需要 DPA。它們有內建的保護功能,使 DPA 保護變得不必要。請考慮以下事項,以便更了解貴公司在這些情況下的義務:

  1. 與有保密要求的專業團體合作:在許多專業領域中,最佳做法是服務供應商簽訂特定產業的客製化機密協議,其中涵蓋 DPA 所要求的所有安全措施和隱私權規定。通常使用這些保密協議的幾個專業包括法律、稅務諮詢和財務審計。許多醫療照護服務通常也有自己嚴格的保密保證。
  2. 入口網站服務:僅連結人們或實體的服務通常不受 DPA 要求的限制。這些專業媒合服務非常短暫,因此 DPA 的好處不大。例如,招聘人員就屬於這一類。他們只是將求職者和正在尋找優秀新團隊成員的公司聯繫起來。在這種情況下,就沒有必要與招募人員簽訂 DPA。
  3. 與債務催收機構合作: 債務催收公司可取得個人財務資訊及醫療資訊。由於催收機構與原始債權人分開,且為自身利益而催收債務,因此免於延期起訴法(DPA)的要求。如果催收公司是代表原債權人行事,則需要簽署延期起訴協議(DPA)。
  4. 來自多家公司的聯合資料管理:在某些情況下,公司以團體形式合作管理資料集合。當公司共同存取供應商、產品或銷售線索的資料時,往往會發生這種情況。雖然這些公司可能是競爭對手,但他們使用相同的資料來達到相同的一般目的。這種資料使用的規模通常意味著 DPA 不是強制性的。
  5. 臨床試驗:大規模的臨床藥物試驗通常不使用 DPA,因為它們需要許多貢獻者。 醫生、研究中心和贊助者都可以存取受試者資料,而且他們都會根據自己的需求以不同的方式處理資料。收集到的資料通常也會在整個臨床試驗過程中發揮各種作用。在這些情況下,DPA 一般不適用。

誰是資料控制者?

每一份 DPA 協議都是在資料控制器與資料處理器之間達成的。資料控制者是決定如何以及為何處理個人資料的組織或個人。如果貴公司決定將資料傳送給第三方進行伺服器備份,則貴公司是資料控制者。

資料控制者的界定特徵是決策權。 資料控制者會就資料收集的原因及個人資料處理的方式做出總體決定。

在大多數情況下,公司或組織是資料控制者。資料處理方是與公司簽訂合約的獨立實體。個人如獨資經營者或自僱工人也可能是資料控制者,如果此人就收集和處理個人資料作出決策。

誰是資料處理者?

資料處理者是為資料控制者處理資料的第三方。在上述場景中,如果您的公司決定將資料傳送到外部進行備份,那麼提供備份服務的公司就是資料處理者。

資料處理者可以有多種形式。它可以是公司、個人或公共機構。相關標準是該個人或實體是否代表資料控制者處理資料。

DPA 文件包括哪些內容?

一般資料保障條例第28 - 36條規定了通用資料保障條例 DPA 規則下資料處理者必須承擔的合約義務。 以下是一些必要的 DPA 條款:

1.資料處理細節的徹底分解

DPA應全面說明資料處理的每個環節如何進行。DPA應包含以下主題的明確資訊:

  • 要處理的個人資料類型
  • 資料的主題
  • 資料當事人的類別
  • 處理的目的和性質
  • 資料處理的預期時間
  • 個人資料處理的法律依據
  • 在處理結束時歸還或刪除個人資料

2.資料控制者和資料處理者的權利和責任

DPA確保誰能控制資料處理。

在指定雙方的權利和責任時,DPA 可確保誰控制資料處理的明確性。

DPA 應明確規定資料處理者必須根據資料控制者的意願和規格執行處理。應規定控制者(而非處理者)保留對資料及其處理的完全控制權。

DPA 應指示資料處理者僅根據資料控制者的直接指示處理資料,僅在歐盟法律或其中一個成員國的法律要求時才偏離這些指示。

3.資料處理者所需的保密措施

DPA 應規定資料處理者應遵循的協議,以確保個人資料的機密性。

例如,資料處理者必須要求永久員工、臨時員工和分包商簽署保密協議,才能開始處理個人資料。 只有在法定義務已要求處理者確保機密性時,才不需要保密協議。

4.必要的資訊安全技術與組織規程

DPA 應概述資料處理者必須實施的安全措施,包括在適當時採取類似的措施:

  • 資料加密
  • 資料當事人假名化
  • 確保所有資料處理系統的資料機密性、可用性、彈性和安全性的規程
  • 在受到攻擊或資料外洩之後,恢復個人資料存取權的程序
  • 定期測試和評估所有安全措施有效性的計劃

許多加工商可能希望獲得正式認證,或擬定官方行為準則,證明其已實施的協議。此類措施有助於確保其資料處理完全符合一般資料保障條例。

5.任何分包商合約的條款

DPA 還應概述資料處理者必須對其分包商實施的要求。例如,處理器必須確保遵守這些規則和最佳實務:

  • 僅在資料控制者明確同意及授權下聘用分包商
  • 起草並簽署合同,對分包商施加與資料處理者本身必須遵守的相同的資料安全要求
  • 確保分包商遵守資料保護規定
  • 將涉及分包商的任何變更通知資料控制者,並給予控制者回應的時間

6.資料處理者的合作義務

資料處理者也必須允許資料控制者在處理過程中進行合規性稽核。

DPA 應規定資料處理者必須在何時及如何與資料控制者合作。例如,資料處理者必須配合協助解決資料存取請求。處理者也必須配合保護資料當事人的隱私權和權利,特別是要符合這些要求:

  • 確保個人資料安全
  • 在發生個人資料外洩事件時,迅速通知主管機關和資料當事人
  • 根據需要執行資料保護影響評估 (DPIA)
  • 當出現嚴重的資料風險時,諮詢相關主管機關

資料處理者也必須允許資料控制者在處理過程中進行合規性稽核。在審計期間,處理者必須及時向控制者提供所有相關信息,以證明其已履行通用資料保障條例第28條規定的合規義務。

最佳實踐還包括處理者保存其處理活動的記錄,以證明其遵守一般資料保障條例。

根據 DPA,資料外洩後會發生什麼事?

如果發生資料外洩,相關公司需要立即採取特定的行動。如果違規行為造成嚴重風險,貴公司必須在72小時內通知相關監管機構

如果資料外洩對受影響人員構成極高的風險,貴公司通常也必須通知這些人員。但是,如果貴公司已經制定了有效的技術和組織風險緩解方案,則可能無需發出通知。

例如,假設一家信用卡公司由於儲存資料的伺服器遭到攻擊而遭受資料外洩。其客戶的個人財務資訊已遭洩露。他們的姓名、家庭住址、其他聯絡資訊、財務細節,以及信用卡付款類型的詳細資訊都已公開。

託管伺服器的公司需要在72小時內通知相關部門此安全漏洞事件。它還需要通知信用卡公司。

該公司可能需要告知消費者,因為洩露他們的個人識別資訊可能會使他們面臨風險。如果消費者曾用信用卡支付醫療費用,資料外洩也可能導致消費者受保護的敏感健康資訊外洩。

不遵守一般資料保障條例的處罰處分是什麼? 

如果發生資料外洩事件,被發現不合規的公司將受到紀律處分。可能的違規行為只會受到警告。經確認的違規事件可能會受到以下一項或多項處罰:

  1. 正式譴責
  2. 暫時或永久禁止資料處理
  3. 罰款金額最高可達20萬歐元或公司全球年度總收入的4 %。

聘請G-P資料安全專家加入您的團隊。

當您組建專注於資料安全的國際團隊時,請與G-P合作。 我們的專業團隊可以幫助您了解適用於貴公司的資料處理協議法規。

團隊中擁有資料保護官和其他法律專業人員對於保持資料保護法合規性至關重要。作為全球雇主(EOR), G-P幫助您招募並支付成功所需的國際人才。 我們非常重視資料隱私,我們可以幫助您遵守《當地勞工法》,並在您將公司業務拓展至國際市場時保護您的機密資訊。

在G-P ,我們協助您加快招募流程。 使用我們的全端全球招募平台,您只需點擊幾下即可招募和加入您的新團隊成員,從而節省時間並簡化您應對國際公司發展挑戰的方法。

立即索取建議書,或與我們聯絡,瞭解如何透過我們的平台雇用資料安全專業人員。