数据处理协议，与分包商签订的重要 GDPR 合同

当您委托服务提供商处理个人数据时，这种关系必须受到服务提供商的监督 数据处理协议 (DPA)。本合同根据 GDPR 第 28 条规定，正式规定了各方的义务，并构成在审计或控制时证明合规性的重要文件。

什么是 DPA？

DPA，或 数据处理协议，是以下之间的合同：

• 这 数据控制者 ：决定数据使用的实体（例如电子商务公司），
• 这 分包商 ：代表公司处理数据的服务提供商（例如主机、支付工具、CRM）。

如果没有 DPA，任何处理外包都是 非法的 关于 GDPR。

强制内容

GDPR 规定了最低内容，必须在合同中详细说明：

• 目的和持续时间 的治疗。
• 数据类型和数据主体 （例如客户、员工、潜在客户）。
• 性质和目的 处理（例如存储、分析、人力资源管理）。
• 分包商的义务 ：
  • 仅按照负责人的指示行事，
  • 保证机密性和安全性，
  • 通知任何数据泄露，
  • 协助人民行使权利（访问、删除、携带），
  • 在合同结束时返回或删除数据，
  • 启用合规性审核。

为什么这至关重要？

• 法律保障 ：未经 DPA 委托进行的处理不符合 GDPR。
• 合规证明 ：在 CNIL 检查时，DPA 是文件的核心部分。
• 职责分配 ：明确角色，防止发生事故时公司单独承担责任。

实用表：如何管理 DPA

阶段	行动	最佳实践
1. 识别	列出所有访问个人数据的服务提供商。	使用现有的 SSO、OAuth 日志和合同。
2. 检查	检查 DPA 是否已签署。	主要提供商（AWS、Google、Microsoft、Stripe）发布了标准 DPA。
3. 谈判	要求包含最低 GDPR 条款。	添加具体保证（住宿地点、欧盟境外转移、分包商）。
4. 存档	将所有 DPA 集中在注册表中。	使用合规性管理工具（OneTrust、TrustArc、内部）。
5. 控制	对服务提供商进行定期审核。	检查技术安全性（ISO 27001、SecNumCloud、SOC 2）。

签署（或激活）主要供应商的标准 DPA

大多数主要参与者提供 预先编写的 DPA 符合 GDPR。
以下是找到它们以及如何激活它们的位置：

检查欧盟以外的转账

这是 敏感点，尤其是使用美国工具。

要做的事：

• 检查供应商是否 数据隐私框架 (DPF) 认证， 新的欧盟-美国法律基础（取代隐私护盾）。
• 检查 二级分包商名单
• 如果转账不 不在 DPF 覆盖范围内，要求或验证是否存在 标准合同条款 (SCC)。

将 DPA 集成到您的 GDPR 注册中

在你的 治疗登记册， 添加：

• 这 供应商名称,
• 这 处理的数据类型,
• 这 链接到 DPA,
• 那里 转让的法律依据（DPF 或 SCC）,
• 那里 保质期,
• 这 安全措施 （加密、身份验证等）。

这构成了您的 合格证明文件，GDPR 要求。

监控合同变更

主要供应商 定期更新他们的 DPA。
订阅他们的法律页面或合规新闻通讯。
例如 ：

• Google 通过 Workspace 管理控制台通知，
• HubSpot 通过电子邮件发送给主管理员。

重要的 ：如果供应商添加新的分包商或更改托管位置，您必须 得到通知 和 有机会反对。

为您自己的分包商建立内部 DPA 模型

如果您反过来为客户（例如代理机构、公司、SaaS 初创公司）处理数据，您必须：

• 写下你的 自己的 DPA 模型,
• 由您签名 分包商,
• 并将其提供给您 顾客。

使用来自的模板 法国国家信息实验室 或那个EDP​​B（欧洲数据保护委员会） 作为基础，适应您的活动。

实用清单示例

要记住

• 一个 DPA 不是可选的 ：这是您遵守规定的文件证明。
• 对于 Google 和 HubSpot，DPA 适用 自动地 但必须是 已存档并验证。
• 主要风险依然存在 欧盟以外的数据传输 和 级联分包。
• 最后，有必要 像管理生活合同一样管理 DPA，而不是简单的附件。

缺乏 DPA 的风险

• GDPR 罚款 ：高达 2000 万欧元或全球营业额的 4%。
• 民事责任 ：客户可以发起维修行动。
• 失去信心 ：未受法律保护的缺陷会削弱客户关系。