2020年11月12日,欧盟委员会发布了涵盖GDPR第28条要求的第一组条款草案,以进行磋商(可 这里)。

GDPR第28条规定了控制者与处理者之间的关系。特别是,第28(3)和(4)条概述了控制器和处理器之间的数据处理协议中必须包含的细节(例如,处理的目的和持续时间,用于确保数据安全性的措施的细节),以及适用于处理器的义务(例如,仅根据控制器的书面说明进行处理,实施安全措施,协助)。

这些条款为委员会对数据处理协议的期望提供了有用的见解,这将有助于组织对数据处理协议模板进行任何审查(并在需要时开发)。

条款草案中的某些规定(例如国际转让)没有得到进一步发展,而其他规定(例如数据泄露通知规定)得到了扩展,这意味着(如果被采纳)它们可能对处理者施加额外的要求。在咨询期间,有机会就任何此类附加要求发表意见。

一旦确定下来,第28条的条款就不是强制性的,而是将由委员会批准,以满足控制员和加工商之间根据第28条达成的协议的要求。这些条款可以补充有附加规定,只要它们没有冲突即可。

结论

虽然第28条本身并不要求重新制定数据处理协议,但组织应谨慎考虑其标准数据处理协议是否与第28条草案不同,以及是否可以有道理,要考虑到处理的情况。

该草案第28条的条款开放至2020年12月10日进行磋商。如果您有兴趣提交意见,请访问我的网站。 链接.

随时关注我们的博客以获取更多更新!