处理个人数据协议签署的特点——REVERA专栏

根据欧洲法律，以及巴西和英国的法律要求，签署个人数据处理协议（Data Processing Agreement 或 DPA）成为了企业不可或缺的一部分。法律事务所REVERA的专家尤莉娅·布尔米斯特罗娃和叶卡捷琳娜·亚科尔采维奇解释了DPA的涵义及需要注意的要点。

尤莉娅·布尔米斯特罗娃和叶卡捷琳娜·亚科尔采维奇

在涉及游戏公司需要签署DPA的常见情况下，通常是将处理个人数据的流程外包，比如：

聘请能访问游戏用户个人数据的外部开发人员；
聘请在应用中展示广告的广告公司；
聘请负责向用户发送营销信息的公司（如应用新闻、游戏公司新闻等）；
委托第三方公司代为处理个人数据。

从上述情况可以得出，几乎每家公司（以下称为「控制方」）在经营业务和优化某些流程时，都不可避免地会聘用第三方（以下称为「处理方」），这些第三方代表控制方并根据其指示处理个人数据。

尽管这一做法很普遍，但在撰写DPA文本时，公司常常会遇到关于符合GDPR要求的条件、协议的形式等问题。

以下描述的内容可以帮助简化DPA协议的工作。

为什么要签署DPA？

除了要求拥有DPA是法律的一项明确规定外，还有其他原因使其必要。

控制方在组织个人数据处理流程时决定了处理的基本标准。这意味着，控制方需对数据使用、保密以及数据泄露事件的潜在后果负责。

因此，控制方在聘请处理方处理个人数据时，必须确认后者提供了足够的技术和组织保障。

故此，控制方的利益在于通过DPA来规范处理方处理个人数据的顺序：处理方可以做什么、获得哪些数据、以及应采取哪些强制性的数据保护措施。这样能优先保护控制方，因为如果处理方违反数据处理要求而导致个人数据泄露，控制方也将对此负责。

缺少或错误编制DPA的后果是什么？

缺少DPA违反了GDPR的要求，监督机构可以对此采取多种纠正措施。

完整的纠正措施列表见GDPR第58条。其中包括警告违反GDPR的要求、要求将数据处理操作符合数据保护要求，以及处以行政罚款，对于公司来说，这可能是相当重大的，因为罚款可能数额巨大。

根据GDPR，因缺乏DPA，公司可能面临高达1000万欧元的行政罚款，或最多相当于上一财年全球年度营业额的2%（以较高者为准）。

一些案例和数额：

公司Lazio Region由于在组织呼叫中心的工作时，未与其合同商签署DPA，被意大利监管机构罚款75000欧元。
医疗分析实验室软件供应商Dedalus Biologie SAS由于多项违规行为被罚款150万欧元，包括（1）超出控制方指示（Dedalus Biologie SAS收集了过多的个人数据），（2）未提供所有必要的技术和组织数据保护措施（缺乏个人数据加密等），（3）与客户的合同文件未包含强制性条款。
Isweb S.p.A.，一家IT公司及违规举报管理系统供应商，由于未规管其与所委托的数据处理主机供应商的关系，被罚款4万欧元。

DPA应以何种形式签署？

根据控制方与处理方的关系，以及处理个人数据的参数（处理目的、期限、数据清单、其他义务）是否不同，DPA的签署形式可能不同。通常采用两种形式：

(1) 书面形式——适用于处理方处理个人数据时存在某些特殊性。

例如，一家负责开发和发布移动应用程序的公司，为提供用户技术支持服务聘请了一名合同商，并为展示定向广告聘请了另一名合同商。这些合同商的数据处理程序因其服务的差异而不同。因此，与每个特定处理方签署书面DPA是可取的。

(2) 公告形式——用于个人数据处理参数相同的情况。

例如，当公司向所有合同商提供相同服务时，该方案是可取的。因此，数据处理程序在与新合同商签署合同时不会变化，与每个合同商单独签署DPA没有意义。这种情况下，可以创建并在公司网站上发布一个适用于所有使用其服务的合同商的通用DPA格式。

DPA中必须规定的最低条件

法律没有规定DPA必须包含哪些具体条件。因此，各方在达成一致时有一定的选择自由。然而，GDPR确实提供了一个必须在DPA中规定的最小条件和义务清单（见GDPR第28条）。

下面是一个包含DPA中必须包括的基本条件的清单。

1. DPA必须包含以下处理细则的描述：

处理的主题和期限；
处理的性质和目的；
个人数据的类型；
数据主体的类别；
控制方的权利和义务。

2. DPA必须规定处理方的以下义务：

仅根据控制方的书面指示进行个人数据处理；

控制方的指示可以通过电子邮件、CRM系统、DPA文本等多种方式来制定。同时，从DPA的规定中应该明确看出，是控制方而非处理方掌控个人数据的处理方式。

如果处理方超出了指示范围，那么在该处理方面，处理方将被视为控制方，并且要对数据主体负责。

一个常见的例子是，处理方在控制方规定的期限之后继续处理个人数据。在这种情况下，从处理期限届满之时起，处理方需自行确定继续处理的合法性、处理的参数、法律依据等。

保证有权处理个人数据的人遵守保密义务；

这种义务应适用于处理方的员工和其他接触控制方个人数据的人。

保密条款可以通过与员工（合同商）的合同义务或法律要求来规定。

提供适当的信息安全、技术和组织数据保护措施；

这些措施包括加密、假名化；确保系统和服务的持续保密性、完整性、可用性和弹性等。完整的措施清单详见GDPR第32条。

遵循使用次级处理方的条件；

GDPR允许处理方聘用个人数据处理的其他人员（「次级处理方」）。例如，为了进行应用程序的市场推广（广告活动和向用户发送营销电子邮件），公司（控制方）聘请一家广告公司，向其传递用户的个人数据（处理方），而广告公司又为了控制方的营销邮件而选用另一家公司，该公司就被视为GDPR下的次级处理方。

聘用次级处理方必须在DPA中规定和遵守以下条件：

- 仅在获得控制方同意或通知的情况下聘用次级处理方；
- 如果基于通知来聘用次级处理方，控制方必须有正当机制反对聘用某一特定次级处理方；
- 处理方与次级处理方之间需签订DPA，确保次级处理方也具备与处理方相同的数据保护义务；
- 处理方需对次级处理方履行数据保护义务对控制方负责。

协助控制方实现个人数据主体的权利；

DPA应规定控制方和处理方在处理数据主体关于其GDPR权利的请求时如何互动。例如，DPA可以包含以下条款：处理方不能直接回复数据主体的请求，并有义务通过技术和组织措施协助控制方响应数据主体的请求。

协助控制方履行GDPR第32-36条的义务；

GDPR对控制方保护个人数据提出了一系列义务（例如，必须通知数据主体和监管机构数据泄漏事件，进行数据保护影响评估（DPIA）等）。DPA需要明确规定处理方应如何协助控制方履行这些义务。

在处理期限结束后终止个人数据处理；

DPA应该包含一项条款，即处理方有义务在处理期限结束后删除或返还所有个人数据给控制方，并删除现有副本。

为控制方提供审核GDPR和DPA要求合规性的机会。

DPA的必备要求是处理方必须具备以下义务：

- 有义务为控制方提供验证遵守GDPR第28条义务所需的所有信息；
- 以及允许并协助控制方或其指定的审计员进行的审核和检查。

***

DPA在确定控制方和处理方之间关系框架时是关键文件。因此，应特别注意DPA的编写。