数据处理协议 如果您想知道如何撰写合法的数据处理协议 (DPA),那么您来对地方了。在这篇博文中,我们将带您了解《通用数据保护条例》(GDPR) 下 DPA 的所有重要元素。
免责声明:本博文不是法律建议
Piwik PRO 提供隐私友好的分析软件,但不提供法律咨询。如果您想确保遵守 HIPAA 指南,我们建议您咨询律师。
什么是数据处理协议 (DPA)?
GDPR 对那些想要收集和使用个人数据 伊拉克电报数据 的人施加了许多义务。其中最重要的一项是与有权访问这些数据的每一方签订 DPA。DPA 或委托数据处理条款是控制者和处理者之间签署的具有法律约束力的文件。它规范了数据处理的特殊性,例如:
处理的范围和目的
这些参与者之间的关系
条例规定各方的义务
您还可以下载此帖子作为可打印的清单!使用它来检查您的 DPA 是否符合 GDPR 的严格要求。
立即下载
什么时候需要 DPA?
每当数据处理者代表您进行任何处理时,您都需要签订书面合同。
这意味着,例如,当您使用客户关 如何通过以下 4 个步骤将您企业中的任何事务委托给 VA 系管理平台 (CRM)、客户数据平台 (CDP)、分析和许多其他类型的旨在分析用户行为的工具时,您需要 DPA。
合同很重要因为这样双方才
能了解他们在处理用户个人数据方面的角色 澳大利亚数据 以及由此产生的义务。它确保流程中每个参与者都清楚责任链。
这并不是什么新鲜事。许多其他数据隐私法规都要求签署此类文件,包括《英国数据保护法》和 GDPR 的前身《数据保护指令 95/46/EC》。
也就是说在 GDPR 下
合同要求更为广泛。它们还有助于在数据保护机构进行审计时证明各方的合规性。
根据英国信息专员办公室的说法:
控制者和处理者之间的合同确保双方都了解各自的义务、责任和义务。合同有助于双方遵守 GDPR,也有助于控制者证明其遵守了 GDPR。控制者和处理者使用合同还可以提高数据主体对其个人数据处理的信心。
DPA 必须是一份单独的文件吗?
没有法律限制规定 DPA 不能成为处理者和控制者之间常规合同的一部分。但是,考虑到任务的复杂性,最好创建单独的文档或主合同的附件。
符合 GDPR 要求的 DPA 应包含哪些内容?
GDPR 就 DPA 中应包含的内容提供了一些一般指导。根据法规以及我们自己的经验和专业知识,我们准备了一份每份数据处理协议都应包含的要素清单。
1) 一般条款
在合同的这一部分,您可以指定文件中使用的术语。除其他事项外,您还应定义:
协议的主题——通常是与合作伙伴之
间的合同关系有关的所有活动。
数据处理的范围、性质和持续时间——个人数据将如何使用以及哪一方将负责遵守流程。这一责任通常由数据控制者(您)承担。
数据处理的主体– 您想要处理其数据,例如儿童、银行客户、患者或仅仅是网站访问者。数据主体可以分为多个类别。
您要处理的数据类型– 您要处理的不同类别的数据。例如,这可能是浏览器的技术特性、网站活动的行为数据或 IP 地址。
良好做法
如果控制者收集特殊类别的数据
则应通知数据处理者,因为对特定数据类型的处理有更多限制。如果您想了解有关个人数据类别的更多信息,请阅读此博客文章。
数据存储——尽管 GDPR 并不禁止公司将用户的个人数据存储在欧盟以外,但它对这些传输设置了限制(请参阅第 5 章)。未经事先同意,处理者不得将数据发送到海外。如果要将数据保存在国外,您需要描述数据处理者应如何处理数据以符合 GDPR 规定的保护标准。由于说明应该很详细,因此值得将它们包含在单独的条款中,甚至是合同的附件中。
自隐私护盾终止以来,将数据从欧盟传输到美国变得更加棘手。在此处阅读更多信息:隐私护盾失效以及欧盟与美国数据传输的现状
合同终止条件——您应在此
说明,合同终止后,必须从处理方数据库中删除有关您用户的所有数据。您还应详细说明何时有权终止协议——例如,如果处理方未能通知您数据泄露或对数据处理程序进行未经授权的更改。