为了确保消费者数据的安全，欧盟（EU）实施了一项严格的隐私和安全法，称为《通用数据保护条例》（GDPR）。GDPR定义并强制执行欧盟公民关于其个人数据的权利。它在使用这些数据时实施了问责制、安全性和透明度标准。

在欧盟运营或处理来自欧盟的个人数据的全球公司需要了解GDPR将如何影响他们，以及如何保持GDPR合规性。

该法规遵从性的一个方面是实施数据处理协议（DPA）。GDPR数据处理协议规定了与数据处理活动相关的细节、规则、权利和义务。它有助于确保公司合规性，保护数据安全，并使消费者得到保护和满意。

本指南详细介绍了DPA的工作方式以及DPA中应包含的内容。

数据处理协议是数据控制器和处理其数据的数据处理器之间签订的合同。完全符合GDPR要求。

DPA规定了将要进行的处理活动的性质、目的和持续时间。它还指定了要处理的个人数据的类型和数据所属的个人类别。它定义了控制者将拥有的权利和义务。它可以指定必须使用的技术安全措施，例如一定级别的加密。

DPA具有法律约束力，数据控制器和处理器必须遵守它，否则将面临严重处罚。

DPA的主要优点是它确保了数据处理器的合格性和可靠性。公司需要知道他们的数据掌握在好的手中，并且是保密的，不会被窥探。DPA有助于提供这些保证。

GDPR及其DPA要求可能会对未来的业务运营产生重大影响。随着个人数据收集变得更加有限，关于数据收集和存储的沟通变得至关重要，以及第三方供应商关系需要更严格的合同，业务交易可能会发生变化。个别公司及其人力资源部门在调整其流程以符合GDPR要求时将感受到广泛的影响。

GDPR要求的好处是，随着人们对其数据的隐私和保护更加自信，信任可能会在商业中蓬勃发展。

您需要数据处理协议吗？如果您在欧盟或从欧盟处理个人数据，您可以这样做。

根据GDPR，只要个人或组织将个人数据提供给第三方服务提供商进行协作服务，DPA文件都是强制性的。作为数据处理方的任何一方必须与数据控制方签署DPA。

例如，在欧盟，托管网站的服务必须与网站所属公司签署DPA。处理个人数据以提供针对性消费者营销的公司也必须签署DPA。

以下是需要DPA的其他几种常见业务服务和场景：

电子邮件管理外包

财务和工资核算的技术数据处理解决方案

数据备份服务，无论是通过物理服务器还是在云中

通过外部服务提供商收集数据或进行数字化

处理包含敏感数据的旧硬件

在某些情况下，GDPR可能要求欧洲以外的公司签署DPA。只要涉及欧盟数据，这一要求就会生效。例如，位于加拿大的公司如果处理有关欧盟公民的数据，可能会受到DPA要求的约束。

一些特定场景不需要DPA。它们具有内置保护，不需要DPA保护。考虑以下事项，以便您更好地了解公司在这些情况下的义务：

与有保密要求的专业团体合作：在许多专业中，最佳做法是服务提供商签订行业特定的、定制的保密协议，涵盖DPA要求的所有安全措施和隐私要求。一些通常使用这些保密协议的职业包括法律、税务咨询和财务审计。许多医疗服务通常也有自己严格的保密保证。

门户服务：仅连接人员或实体的服务通常不受DPA要求的约束。这些专业的配对服务非常短暂，因此DPA几乎没有好处。例如，招聘人员属于这一类。他们只是将寻找工作的人与寻找有才华的新团队成员的公司联系起来。这种情况使得招聘人员没有必要进行DPA。

与债务催收机构合作：债务催收机构可以获得个人财务信息和医疗信息。由于催收机构与原始债权人分开，为自己的利益而催收债务，因此它们不受DPA要求的约束。如果他们是代表原始债权人工作，催收机构将需要签署DPA。

来自多家公司的联合数据管理：在某些情况下，公司作为一个团队来管理数据集合。当公司可以联合访问供应商、产品或销售线索的数据时，通常会出现这种情况。尽管这些公司可能是竞争对手，但它们将相同的数据用于相同的一般用途。这种数据使用的规模通常意味着DPA不是强制性的。

临床试验：大规模的临床药物试验通常不使用DPA，因为它们需要大量的贡献者。医生、研究中心和赞助商都可以访问受试者数据，他们都会根据自己的需要进行不同的处理。在整个临床试验中，收集的数据通常也用于各种目的。在这些情况下，DPA通常不适用。

每个DPA协议都发生在数据控制器和数据处理器之间。数据控制者是决定如何以及为什么处理个人数据的组织或个人。如果您的公司决定将数据发送给第三方以在其服务器上进行备份，则您的公司是数据控制器。

数据控制器的决定性特征是决策权。数据控制器对数据收集的原因和个人数据处理的方式做出总体决定。

在大多数情况下，公司或组织是数据控制器。数据处理器是与公司签订合同的独立实体。如果个人（如个体经营者或自营职业者）决定收集和处理个人数据，则该个人也可以是数据控制者。

数据处理器是为数据控制器处理数据的第三方。在上面的场景中，如果您的公司决定将数据发送出去进行备份，那么提供备份服务的公司就是数据处理器。

数据处理器可以采用多种形式。它可以是公司、个人或公共机构。相关标准是个人或实体是否代表数据控制器处理数据。

GDPR第28-36条规定了GDPR DPA规则下数据处理者的强制性合同义务。以下是一些必需的DPA条款：

DPA应全面详细说明数据处理的各个方面。DPA应包括以下主题的明确信息：

要处理的个人数据类型

数据的主题

数据主体的类别

处理的目的和性质

数据处理的预期持续时间

个人数据处理的法律依据

在处理结束时返回或删除个人数据

在规定双方的权利和责任时，DPA确保明确谁控制数据处理。

DPA应明确说明数据处理器必须根据数据控制器的意愿和规范执行处理。它应该指定控制器（而不是处理器）保留对数据的完全控制权以及数据发生的情况。

DPA应指示数据处理器仅根据数据控制器的直接指令处理数据，只有在欧盟法律或成员国法律要求时才偏离这些指令。

DPA应规定数据处理者应遵守的协议，以确保个人数据的保密性。

例如，数据处理者必须要求永久雇员、临时雇员和分包商在开始处理个人数据之前签署保密协议。唯一不需要保密协议的情况是，法定义务已经要求处理方确保保密。

DPA应概述数据处理器必须实施的安全措施，包括以下适当措施：

数据加密

数据主体化名

用于确保所有数据处理系统的数据机密性、可用性、弹性和安全性的协议

攻击或破坏后恢复个人数据访问的过程

测试和评估所有安全措施有效性的定期计划

许多处理器可能希望获得正式认证或制定官方行为准则，以证明其实施的协议。此类措施有助于确保其数据处理完全符合GDPR。

DPA还应概述数据处理器必须对其分包商施加的要求。例如，处理者必须确保遵守这些规则和最佳实践：

仅在数据控制者明确同意和授权的情况下雇用分包商

起草和签署合同，对分包商施加数据处理者自身必须遵守的相同数据安全要求

确保分包商遵守数据保护要求

将涉及分包商的任何变更通知数据控制员，并给予控制员时间作出响应

DPA应规定数据处理器必须与数据控制器合作的时间和方式。例如，数据处理器必须合作以帮助解决数据访问请求。处理方还必须合作保护数据主体的隐私和权利，特别是满足以下要求：

确保个人数据安全

及时通知当局和数据主体个人数据泄露

根据需要执行数据保护影响评估（DPIA）

当出现严重数据风险时，咨询相关部门

数据处理器还必须允许数据控制器在处理过程中进行合规审计。在审计期间，处理方必须立即向控制方提供所有相关信息，以证明其已履行GDPR第28条规定的合规义务。

最佳实践也适用于处理方保存其处理活动的记录，以证明其符合GDPR。

如果发生数据泄露，相关公司需要立即采取具体行动。如果违规行为构成严重风险，贵公司必须在72小时内通知相关监管机构。

如果违规行为对受影响的人构成极高的风险，您的公司通常也必须通知这些人。但是，如果您的公司已经制定了有效的技术和组织风险缓解协议，则可能不需要通知。

例如，假设一家信用卡公司因其存储数据的服务器受到攻击而遭受数据泄露。其客户的个人财务信息已被泄露。他们的姓名、家庭地址、其他联系信息、财务信息以及他们在信用卡上支付的类型的详细信息都已公开。

托管服务器的公司需要在72小时内通知有关部门。它还需要通知信用卡公司。

该公司可能需要通知消费者，因为披露他们的个人身份信息可能会使他们面临风险。如果消费者在信用卡上支付了医疗费用，这种违规行为还可能导致消费者敏感的、受保护的健康信息被泄露。

如果发生数据泄露，被发现不合规的公司将受到纪律处分。可能的违规行为只会收到警告。已确认的不合规事件可能会受到以下一项或多项处罚：

正式的谴责

暂时或永久禁止数据处理

罚款高达2000万欧元，相当于公司年度全球总收入的4%