DPA

GDPR 数据处理协议 (DPA) 是公司在与第三方数据处理者合作时必须签署的法律合同。 该合同确保数据处理者将根据 GDPR 指南处理数据。

数据是公司可以拥有的最有价值的资产之一。为防止潜在的数据泄露或滥用，所有处理个人数据的企业都必须拥有 DPA。

DPA 以书面协议和电子形式均有效。其主要目的是确定数据处理者将如何处理公司提供的数据。它包括有关处理活动的持续时间、数据范围、其目的以及将有权访问它的任何其他实体的详细信息。

在欧洲，制定 DPA 是一项法律要求。在其他国家/地区，这不是法律要求。尽管如此，强烈建议各方充分了解他们在收集、使用和保护个人数据方面的责任，以及一旦发生涉及个人数据的事件的后果。

为什么需要 DPA？

DPA 确保适当的安全措施到位，并且数据处理活动符合 GDPR。

假设一家公司想要将客户数据处理活动外包给第三方公司，例如云服务。在这种情况下，他们必须先签署 DPA。DPA 文件确保第三方在处理个人数据时保证信息安全，防止任何安全事件并遵守所有适用的数据保护法律。

几乎每个企业都依赖第三方来处理个人数据。一些使用网站分析软件，而另一些使用云存储提供商存储数据。无论企业决定以何种方式执行其个人数据处理，它都必须与这些服务中的每一项签订数据处理协议，以实现 GDPR 合规性。

每次要将特定的数据集转移到第三方实体进行处理时，都需要与第三方起草并签署DPA。如果发生数据安全漏洞，该协议可为您提供保护。

公司（数据控制者）、数据处理者和任何子处理者必须签署 DPA。

如果您没有与您的数据处理者签署协议，而他们对数据的处理不当，您可能要为数据泄露承担责任，因为您没有采取足够的措施来确保数据保护。

除了经济后果，您的公司还将遭受声誉损害，并且您可能会失去客户的信任，他们可能会在未来避免与您分享他们的个人信息。

数据控制者是拥有数据的个人或公司。数据控制者也称为数据输出者。他们聘请了第三方数据处理器并允许他们访问数据。

顾名思义，数据控制者控制并确定数据的用途。它还决定了数据处理者将如何处理数据主体信息，这可能因控制者的义务和权利、个人数据的类型和数据主体的类别而异。

数据处理方是为控制者处理数据的第三方服务提供商。在某些情况下，独立承包商可以被视为处理方。

数据处理方必须按照数据控制者设定的合同条款处理数据。在合同结束时，数据处理方必须删除或返回处理过的数据。

GDPR 代表通用数据保护条例，是欧盟于 2018 年颁布的数据隐私法。它是世界上最严格的隐私和安全法，对任何地方的组织施加义务，只要它们针对或收集与人相关的数据在欧盟。

新法规影响了全球许多可以访问其客户个人数据的企业。从那时起，公司必须对业务流程和文档进行深入审查，以确保其政策和程序符合有关数据主体机密信息的新指南。

要正确起草 DPA，您需要知道数据处理指的是什么。该术语包括数据收集、存储或记录、数据组织、货币化、数据使用或删除，以及与处理个人数据相关的任何其他活动。确保数据处理公司不违反处理这些数据的法律依据至关重要，即他们坚持活动的最初目的。

数据删除是属于 GDPR 的数据处理活动。非法破坏客户数据可能会导致罚款。

任何可帮助您识别其数据被处理人的数据均受 DPA 约束。即使您处理有关客户的假名信息，如果您可以识别假名背后的自然人，它也会受到 DPA 的约束。

数据导入者和导出者必须始终协作，以确保他们负责的数据的最大安全性。但是，如果发生违规，数据处理者必须将此类事件通知数据控制者，并且在任何情况下都不能隐瞒此类信息。如果可能，他们应协助数据控制者进行数据保护影响评估，并在审计时配合当局。

即使没有违规，数据保护官也会根据 GDPR 的要求被任命为数据处理者。通过严格遵守控制者的指示，数据处理者可以按计划执行所有程序。

是。不遵守 GDPR 的罚款非常严格。它们可能会给企业造成高达 2000 万欧元的损失，占其全球收入的 4%。

此外，如果发现一家企业没有遵守 GDPR，则数据主体的权利使他们有权获得损害赔偿。