当代表他人处理个人数据时,通常需要签订数据处理合同 (DP)。但是,如果控制者在没有指示的情况下将个人数据传输给数据接收者,则存在例外情况。如果处理的方式和目的没有由控制者确定,则双方被视为单独负责的实体。甚至可能发生这样的情况:处理属于 GDPR 第 26 条所定义的联合控制范围。因此,在签订数据处理协议之前,始终有必要检查哪个星座是相关的。因此有 3 种不同的可能性:
合同处理:一家公司根据另一家公司的指示并代表另一家公司处理个人数据。
责任分离:两家公司交换个人数据,但任何一家公司都不会指示另一家公司应使用何种方式和目的来处理数据。相反,两家公司均对遵守 GDPR 的要求负全部责任。
共同责任:两家公司共同处理个人数据,并根据指示各自负责处理的特定部分。因此,两家公司都应承担责任,并同时受到指示的约束。责任的分配不一定非要平等。很有可能一家公司决定大约 80% 的处理方式和目的,而另一家公司仅决定 20%。在起草此类合同时,公司应始终寻求数据保护官员的建议。
信任越多,风险越小。
通过严密的数据保护让您的客户信服,减少审计工作量并降低您的责任。立即计算您的定制价格。
数据处理协议的内容
良好的数据处理协议应确保个人数据的处理符合《通用数据保护条例》(GDPR)的要求。数据处理协议必须特别规范以下几点:
处理主题和期限
处理类型和目的
个人资料类型
数据主体类别
控制者的职责和权利
数据处理协议还必须详细规定以下内容:
个人数据将仅按照客户的书面指示进行处理,即使数据被转移到第三国或国际组织。
确保所有被授权处理个人数据的人员都已受到保密约束 台湾号码资料 或承担适当的保密义务。
处理者必须遵守 GDPR 第 32 条要求的所有措施。
必须规范和遵守 GDPR 第 28 条第 (2) 款和第 (4) 款规定的使用其他处理者的服务的条件。
鉴于处理的性质,在可能的情况下,处理者必须通过适当的技术和组织措施支持控制者响应行使《GDPR》第三章(数据主体权利)中规定的数据主体权利的请求。
处理者支持控制者遵守 GDPR 第 32 至 36 条规定的义务,同时考虑到处理类型和可用的信息。
处理者必须在完成处理服务提供后删除或返还(由控制者选择)所有个人数据并删除所有副本,除非联盟或成员国法律要求存储个人数据。
处理者应当向控制者提供所有必要的信息,以证明其遵守了第 28 条规定的义务。
处理者使控制者能够执行由控制者或控制者指定的其他审计员进行的检查和检验,并且还根据 GDPR 第 28 条第 3 款 h) 项的规定为此做出贡献。
数据处理协议的内容的进一步规范受 GDPR 第 28 条和第 29 条的管制。这些要求也必须考虑在内。您的数据保护官员将在订单处理协议的合同设计方面为您提供支持。