博亚体育(中国)官方APP

　　2016 年，欧盟（EU）批准了《通用数据保护条例》（GDPR），该法律框架确立了收集和处理欧盟公民个人信息的准则。两年后实施的GDPR的主要目标是通过制定使用私人数据的问责制、安全性和透明度标准，增加个人对其个人数据的控制和权利。

　　遵守GDPR 要求所有在欧盟运营的公司应用政策、流程和实践来管理客户、用户和员工的个人数据。其中一种做法是实施数据处理协议 （DPA），这是一份具有法律约束力的文件，规范出于商业目的个人数据处理。

　　数据处理协议（DPA）是企业（数据控制者）和服务提供商（数据处理者）之间的合同，旨在确保遵守GDPR。它规定了与双方主要协议相关的数据处理活动的性质、目的和持续时间。

　　根据 GDPR 第 28 条，当公司允许服务提供商处理其客户、用户或员工的个人数据时，必须签订 DPA。

　　DPA 规定了在何种条件下可以处理个人数据，禁止服务提供商将数据用于自己的目的，并确保通过适当措施保护数据。

　　根据 GDPR，每当数据控制者（公司）聘请数据处理者（服务提供商）时，都必须签署 DPA。

　　如今，在没有第三方服务提供商处理个人数据的情况下经营业务几乎是不可能的。需要数据处理的典型业务服务包括电子邮件供应商、用于薪资和人力资源功能的软件即服务解决方案，以及数据备份服务。与每个第三方服务提供商签署DPA，可以使数据控制者保护其用户、客户或员工的个人数据，并确保遵守法律。

　　请务必注意，每当公司通过第三方服务提供商在欧盟处理个人数据时，即使公司本身在欧盟没有法人实体，也需要 DPA。例如，如果在其文章中使用外部测验工具，则必须与提供该工具的公司（数据处理者）签署 DPA，因为其某些用户在欧盟。

　　没有法律要求规定 DPA 必须是单独的文件，这意味着数据控制者和数据处理者可以将 DPA 集成到更全面的合同中。然而，由于专题的复杂性，DPA通常作为主要协定的附件出现。

　　这部分详细介绍了协议的主体;数据处理的范围、性质和期限;以及将要处理的数据类型。此外，它还定义了数据主体（客户、用户或员工）、数据的存储方式和位置，以及在什么条件下可以终止合同。

　　数据控制者负责建立合法的数据处理流程，确保数据主体的权利，收集数据主体的同意和请求，发布有关数据处理的指令，规定处理者处理和存储数据的方式和位置，以及分配员工作为联系人。

　　DPA 规范数据控制者和数据处理者之间的关系，包括详细说明数据处理者的职责。其中最主要职责是：

　　本节概述了为保护数据主体的个人信息、促进合规性和消除数据泄露而将采取的技术和措施。这些措施包括网络安全系统、加密和假名化、适当的处置政策、访问权限、员工培训、审计、审查等。鉴于某些措施的复杂性，建议在协议的单独附件中详细说明。

　　如果处理者打算使用子处理者（代表处理者处理数据的服务提供商），则审查分包合同关系的部分必须是 DPA 的一部分。请务必注意，数据处理者必须获得控制者的书面同意才能使用子处理者。

　　一旦控制者批准子处理者，处理者需要与子处理者达成协议，根据 GDPR 合规性施加DPA要求。建议在合同的单博亚体育 博亚体育官方网站独附件中列出次级处理者。

　　最终条款应说明 DPA 取代数据控制者和数据处理者之间的任何其他合同，并且双方必须接受对 DPA 的任何更改。

　　数据控制者的定义属性是决策权。数据控制者是确定处理个人数据的目的、处理数据类型以及如何处理数据的组织。最终，数据控制者负责保护数据主体的隐私和权利。

　　数据处理者是代表数据控制者处理个人数据的第三方服务提供商。数据处理者不控制其处理的数据，并受其从数据控制者收到的指令的约束。虽然数据处理者没有相同级别的合规责任，但他们有义务采取必要措施确保个人数据的处理符合GDPR。

　　根据 GDPR 第 33 条，如果发生数据泄露，数据被泄露的公司必须在意识到泄露后 72 小时内通知数据保护机构。

　　如果数据泄露事件对数据被泄露的个人构成高风险，组织也必须通知他们。但是，如果有制定具体的技术和组织措施，可能就没有必要发出此通知。

　　如果数据处理者首先意识到数据泄露，则必须通知数据控制者并与相关的数据保护机构合作。

　　迄今为止，GDPR对亚马逊（7.46亿欧元）、WhatsApp（2.25亿欧元）和谷歌（1.5亿欧元）作出了最大的三笔违规处罚。

　　数据保护机构是独立的公共机构，负责实施和执行数据保护法律，并就所有数据保护事宜（包括数据保护协议）向公司提供指导和建议。

　　无论您是使用电子邮件提供商、用于薪资和人力资博亚体育 博亚体育官方网站源职能的软件即服务解决方案，还是数据备份服务，他们都必须满足数据安全的最高标准。这包括快速响应个人数据请求，提供审计机会，并拥有可以回答每个与合规性相关的问题的内部专家。

　　ISO（国际标准化组织）是信息安全的最高标准，为识别信息安全风险提供了框架。ISO 27001 是世界上最著名的信息安全管理系统 （ISMS） 及其要求标准。ISO 27000 系列中的十几个标准涵盖了数据保护和网络弹性方面的其他最佳实践。

　　SOC（系统和组织控制）是由美国注册会计师协会（AICPA）发布的一套报告。与数据安全性、处理完整性、机密性和隐私相关的主要 SOC 报告是 SOC 2。

　　正确管理数据意味着使用最严格的数据安全措施（端到端加密、网络隔离、安全数据传输）、物理安全措施（基于角色的访问控制、生物识别访问、安全摄像头）和智能网络安全（防火墙保护、通过 AWS Tower 进行广泛监控）。返回搜狐，查看更多