定义
DPA(Data Processing Agreement,数据处理协议)是数据控制者(客户)与数据处理者(平台/服务商)之间订立的协议,约定数据处理的目的、范围、方式、安全措施、子处理者、审计权等。与 SCC 标准合同条款配合,满足 GDPR 第 28 条对数据处理者的要求,是跨境物联网平台合规运营的法律基础。
GDPR 要求
GDPR 第 28 条规定,数据控制者委托数据处理者处理个人数据时,必须签订书面协议,约定:处理目的与期限;数据类型与数据主体类别;数据处理者的义务与责任;安全措施;子处理者的管理;审计与合规配合;数据删除或返还。DPA 是客户与平台之间的必备法律文件,缺失将导致合规风险。
跨境传输
当数据处理涉及跨境传输(如欧盟数据传至非 adequacy 国家)时,DPA 需结合 SCC(Standard Contractual Clauses)标准合同条款。欧盟委员会发布的 SCC 模板为跨境传输提供合规框架,平台与客户签署 DPA 时可纳入 SCC 附录。DPA 与 SCC 共同构成跨境传输的法律依据。
在 ICMP 中的实践
达希物联 ICMP 提供标准 DPA 模板,涵盖 GDPR 要求的各项条款;支持 SCC 附录;约定 Data Residency、Audit Trail、安全措施、子处理者清单等。客户签署 DPA 后,平台数据处理活动具备合法依据,满足企业客户与监管的合规要求。