Skip to main content

数据处理协议 (DPA)

TL;博士

数据处理协议,简称 DPA,是企业与第三方数据处理者之间具有法律约束力的合同,旨在规范 GDPR 合规方面的数据隐私。

什么是数据处理协议 (DPA)?

任何拥有在线业务的企业都依赖第三方才能正常运作。这些第三方可以是任何东西,从电子邮件提供商到网站分析工具或聊天工具等;基本上,任何处理用户个人数据的工具。需要在该企业(控制者)和每个第三方(处理者)之间签署数据处理协议,以确保数据被正确存储并且不会被滥用、出售或容易受到攻击。这是实现 GDPR 合规的最基本步骤之一。

这些第三方工具中的大多数都使 DPA 在其网站上可供下载和签名。例如,这里是访客分析 DPA: https://www.visitor-analytics.io/en/support/legal-data-privacy-certificates/standard-integration/data-processing-agreement-cookie-information/。通常也可以通过电子邮件请求签署的 DPA。

如果您需要创建自己的数据处理协议,可以从https://gdpr.eu/data-processing-agreement/下载官方模板。任何组织都可以使用本文档以符合 GDPR 并避免昂贵的罚款。

数据处理协议适用于存储和/或处理来自欧盟的数据的企业,并解决与处理器有关的以下问题:

  • 必须有足够的信息安全;
  • 未经控制者同意,任何子处理者不得使用数据;
  • 必要时必须与数据保护机构合作;
  • 必须立即向控制者报告数据泄露;
  • 必须保存所有处理活动的记录;
  • 遵守欧盟数据传输规则;
  • 在管理可能的数据泄露时为控制器提供帮助。

可以在此处找到有关此的更多详细信息: https://gdpr.eu/article-28-processor/。