為了確保消費者資料的安全,歐盟 (EU) 已實施嚴格的隱私權與安全法,稱為《一般資料保護規範》(GDPR)。一般資料保護規範》(GDPR) 定義並執行歐盟公民對其個人資料的權利。 它實施了使用該資料時的問責性、安全性和透明度標準。

在歐盟營運或處理歐盟個人資料的全球公司需要瞭解《一般資料保護規範》(GDPR) 將如何影響他們,以及如何維持《一般資料保護規範》(GDPR) 的合規性。

合規的其中一個方面是執行資料處理協議 (DPA)。一般資料保護規範》(GDPR) 資料處理協議規定了與資料處理活動相關的細節、規則、權利和義務。 它有助於確保公司合規、資料安全,並讓消費者受到保護和滿意。

本指南將詳細介紹 DPA 的運作方式以及 DPA 應包含的內容。

什麼是《一般資料保護規範》(GDPR) 下的 DPA?

資料處理協議是資料控制者與將會處理其資料的資料處理者之間所簽訂的合約。這是完全符合《一般資料保護規範》(GDPR) 的要求。

資料處理協議規定了將要進行的處理的性質、目的和持續時間。它還具體規定了要處理的個人資料類型以及資料所屬的個人類別。它界定了控制者享有的權利和承擔的義務。它可以規定必須採用的技術安全措施,例如一定程度的加密。

DPA 具有法律約束力,資料控制者和資料處理者必須遵守,否則將面臨嚴重的罰款風險。

資料處理協議的主要好處在於,它可以確保資料處理者的資格和可靠性。企業需要確保自己的資料得到妥善保管,並且能夠保護資料隱私和安全,防止他人窺探。資料保護協議有助於提供這些保證。

一般資料保護規範》(GDPR) 及其 DPA 規定未來可能對運營活動有重大影響。 商業交易可能會隨著個人資料收集變得更有限、有關資料收集和儲存的溝通變得必要,以及第三方供應商關係需要更嚴格的合約而改變。 個別公司及其人力資源部門在調整流程以符合《一般資料保護規範》(GDPR) 的要求時,將會感受到廣泛的影響。

一般資料保護規範》(GDPR) 要求的好處是,當人們對其資料的隱私和保護更有信心時,對企業的信任可能會增加。

什麼情況下需要資料處理協定?

您需要資料處理協議嗎? 如果您在歐盟境內或從歐盟境內處理個人資料,則可以。

根據《一般資料保護規範》(GDPR),每當個人或組織提供個人資料給第三方服務供應商進行協同服務時,DPA 文件是強制性的。 擔任資料處理者的任何一方必須與資料控制者簽署 DPA。

例如,在歐盟,網站託管服務必須與網站所屬公司簽訂 DPA。處理個人資料以提供針對性消費者行銷的公司也必須簽署 DPA。

以下是一些其他需要資料保護協議的常見業務服務和場景:

  • 電子郵件管理外包
  • 財務和薪資會計的技術資料處理解決方案
  • 資料備份服務,無論是透過實體伺服器或雲端。
  • 透過外部服務供應商進行資料收集或數位化
  • 處置含有敏感性資料的舊硬體

在某些情況下,《一般資料保護規範》(GDPR) 可能會要求歐洲以外的公司必須有 DPA。 只要涉及歐盟資料,這項規定就會生效。例如,如果一家位於加拿大的公司處理歐盟公民的資料,則該公司可能須遵守 DPA 規定。

什麼情況下不需要資料保護協定?

當不需要資料保護協定時,表格中包含合作夥伴關係、入口網站服務、收款機構以及來自多家公司的聯合資料管理。

有幾種特定情況不需要 DPA。它們有內建的保護功能,使 DPA 保護變得不必要。請考慮下列內容,以便您能更好地瞭解貴公司在這些情況下的義務:

  1. 與有保密要求的專業團體合作:在許多專業領域中,最佳做法是服務供應商簽訂特定產業的客製化機密協議,其中涵蓋 DPA 所要求的所有安全措施和隱私權規定。一般使用這些保密協議的幾個專業包括法律、稅務諮詢和財務審計。許多醫療照護服務通常也有自己嚴格的保密保證。
  2. 入口網站服務:僅連結人們或實體的服務通常不受 DPA 要求的限制。這些專業媒合服務非常短暫,因此 DPA 的好處不大。例如,招聘人員就屬於這一類。他們只是將尋找工作的人與尋找優秀新團隊成員的公司聯繫起來。在這種情況下,就沒有必要與招募人員簽訂 DPA。
  3. 與債務催收機構合作:債務催收機構可以獲得個人財務資訊和醫療資訊。由於催收機構與原債權人是分開的,催收債務是為了自身利益,因此它們不受《暫緩償付法》的約束。如果催收機構是代表原債權人行事,則需要簽署延期付款協議 (DPA)。
  4. 來自多家公司的聯合資料管理:在某些情況下,公司以團體形式合作管理資料集合。當公司共同存取供應商、產品或銷售線索的資料時,往往會發生這種情況。雖然這些公司可能是競爭對手,但他們使用相同的資料來達到相同的一般目的。這種資料使用的規模通常意味著 DPA 不是強制性的。
  5. 臨床試驗:大規模的臨床藥物試驗通常不使用 DPA,因為它們需要許多貢獻者。 醫生、研究中心和贊助者都可以存取受試者資料,而且他們都會根據自己的需求以不同的方式處理資料。收集到的資料通常也會在整個臨床試驗過程中發揮各種作用。在這些情況下,DPA 一般不適用。

誰是資料控制者?

每份 DPA 協議都發生在資料控制者和資料處理者之間。資料控制者是決定如何及為何處理個人資料的組織或個人。如果貴公司決定將資料傳送至第三方的伺服器上進行備份,則貴公司就是資料控制者。

資料控制者的界定特徵是決策權。 資料控制者會就資料收集的原因及個人資料處理的方式做出總體決定。

在大多數情況下,公司或組織是資料控制者。資料處理者是與公司簽訂合約的獨立實體。個人如獨資經營者或自僱工人也可能是資料控制者,如果此人就收集和處理個人資料作出決策。

誰是資料處理者?

資料處理者是為資料控制者處理資料的第三方。在上述情況中,如果您的公司決定將您的資料送出備份,提供備份服務的公司就是資料處理者。

資料處理者可以有多種形式。它可以是公司、個人或公共機關。相關標準是該個人或實體是否代表資料控制者處理資料。

DPA 文件包括哪些內容?

一般資料保護規範》(GDPR) 第28-36 條規定,根據《一般資料保護規範》(GDPR) 的 DPA 規則,資料處理者必須履行哪些合約義務。 以下是一些必要的 DPA 條款:

1.資料處理細節的全面分解

資料保護機構應詳細說明資料處理的各個方面將如何進行。資料保護協議應包含以下主題的明確資訊:

  • 待處理的個人資料類型
  • 數據的主題
  • 資料主體的類別
  • 處理的目的和性質
  • 資料處理的預期持續時間
  • 個人資料處理的法律依據
  • 處理結束後個人資料的返還或刪除

2.資料控制者和處理者的權利和責任

DPA 可確保資料處理的控制者明確。

透過明確雙方的權利和責任,資料處理協議確保了誰控制資料處理這一點的清晰性。

資料保護法應明確規定,資料處理者必須依照資料控制者的意願和規範進行資料處理。它應該明確規定,控制器(而不是處理器)對資料及其處理方式擁有完全控制權。

資料保護機構應指示資料處理者僅按照資料控制者的直接指示處理數據,只有在歐盟法律或成員國法律要求時才能偏離這些指示。

3.資料處理者必須採取的保密措施

資料保護機構應明確規定資料處理者應遵循的協議,以確保個人資料的保密性。

例如,資料處理者必須要求正式員工、臨時員工和分包商在開始處理個人資料之前簽署保密協議。只有當法律義務已經要求處理者確保保密時,保密協議才變得不必要。

4.資訊安全所需的技術和組織協議

資料保護協定應概述資料處理者必須實施的安全措施,包括在適當情況下採取以下措施:

  • 資料加密
  • 資料主體假名化
  • 確保所有資料處理系統的資料機密性、可用性、彈性和安全性的協議
  • 攻擊或資料外洩後恢復個人資料存取權限的流程
  • 定期進行所有安全措施有效性測試和評估工作

許多加工商可能希望獲得正式認證,或擬定官方行為準則,證明其已實施的協議。這些措施有助於保證其資料處理完全符合《一般資料保護規範》(GDPR)。

5.分包合約條款

資料處理協議還應概述資料處理者必須對其分包商提出的要求。例如,處理器必須確保遵守以下規則和最佳實務:

  • 僅在獲得資料控制者的明確同意和授權後,方可僱用分包商。
  • 起草並簽署合同,對分包商施加與資料處理者本身必須遵守的相同的資料安全要求
  • 確保分包商遵守資料保護要求
  • 如涉及分包商的任何變更,應通知資料控制者,並給予控制者時間回應。

6.資料處理者的合作義務

資料處理者還必須允許資料控制者在處理過程中進行合規性稽核。

DPA 應規定資料處理者必須與資料控制者合作的時間和方式。例如,資料處理者必須合作協助解決資料存取請求。處理者也必須配合保護資料當事人的隱私權和權利,特別是要符合這些要求:

  • 確保個人資料安全
  • 及時通知相關當局和資料主體個人資料外洩事件
  • 根據需要進行資料保護影響評估 (DPIA)。
  • 當出現嚴重的資料風險時,諮詢相關主管機關

資料處理者也必須允許資料控制者在處理過程中進行合規性稽核。在稽核期間,處理者必須立即提供控制者所有相關資訊,以顯示其已履行《一般資料保護規範》(GDPR) 第28 條下的合規義務。

最佳做法是處理者也應保留其處理活動的記錄,以證明符合《一般資料保護規範》(GDPR)。

根據資料保護協議,資料外洩後會發生什麼?

如果發生資料外洩,相關公司需要立即採取特定的行動。如果外洩會造成嚴重風險,貴公司 必須在 小時 內通知相關的監管機構 。72

如果資料外洩對受影響的人造成非常高的風險,您的公司通常也必須通知這些個人。但是,如果您的公司已經有有效的技術和組織風險抵減協議,則可能不需要通知。

例如,假設一家信用卡公司因儲存資料的伺服器遭到攻擊而發生資料外洩。其顧客的個人財務資訊已遭洩露。 他們的姓名、家庭住址、其他聯絡資訊、財務細節,以及信用卡付款類型的詳細資訊都已公開。

託管伺服器的公司需要在72 小時內通知有關當局外洩事件。它也需要通知信用卡公司。

公司很可能需要通知消費者,因為揭露他們的個人識別資訊可能會讓他們陷入危險。 如果消費者曾用信用卡支付醫療費用,資料外洩也可能導致消費者受保護的敏感健康資訊外洩。

什麼是不遵守《一般資料保護規範》(GDPR) 的罰款? 

如果發生資料外洩,被發現違規的公司將受到紀律處分。可能的違規行為只會受到警告。經證實的違規事件可能會受到其中一項或多項罰款:

  1. 正式訓誡
  2. 暫時或永久禁止資料處理
  3. 罰金最高可達 20萬 歐元 ,或公司全球年總營收的4

透過 G-P 聘請資料安全專業人員加入您的團隊

當您要建立專注於資料安全的國際化團隊時,請與G-P 合作。 我們的專業團隊可協助您瞭解適用於貴公司的資料處理協議法規。

在您的團隊中擁有資料保護主任和其他法律專業人員,對於保持 DPA 合規性是非常重要的。身為全球名義雇主 (EOR)),G-P 協助您聘僱和支付您成功所需的國際化人才。 我們非常重視資料隱私權,我們可以協助您遵守當地勞工法,並在您擴大公司規模至全球時保護您的機密資訊。

在 G-P,我們協助您加快僱用程序。使用我們的full-stack 全球僱傭平台,您只需點擊幾下,就能聘僱和加入您的新團隊成員,節省時間並簡化您的方法,以應對國際化公司成長的挑戰。

立即索取建議書,或與我們聯絡,瞭解如何透過我們的平台雇用資料安全專業人員。