GDPR数据处理协议(DPA):第28条详解(2026年版)

数据处理协议(DPA)是一份具有约束力的合同。GDPR第28条要求,控制者在处理者代表其处理个人数据之前,必须与每一个处理者签订这样一份协议。若未签订合规的数据处理协议,双方均可能依据第83(4)条面临最高2000万欧元或全球营业额百分之四(以较高者为准)的罚款。
什么是GDPR数据处理协议?
GDPR数据处理协议,是《(欧盟)2016/679号条例》第28(3)条要求控制者与其委托处理个人数据的每一个处理者之间签订的合同。该协议须载明处理的标的、期限、性质和目的,所涉个人数据的类型,数据主体的类别,以及控制者的义务和权利。根据第28(9)条的规定,该协议必须以书面形式订立,包括电子形式。
第28(1)条要求控制者只能委托能够提供充分保证、以实施适当技术和组织措施的处理者。数据处理协议正是控制者获取并记录这些保证的主要机制,处于问责制与责任分配的交汇点。根据第82条,控制者和处理者都可能因违反GDPR造成的损害而承担民事责任。处理者的责任被限定在其未履行专门针对处理者的义务,或超出控制者合法指示范围行事的情形。一份起草严谨的数据处理协议会对这些指示作出精确界定,这对于执法及责任分配都至关重要。
欧洲数据保护委员会于2021年9月7日正式通过的《关于控制者和处理者概念的07/2020号指南》强调,缺乏书面数据处理协议本身即构成对第28条的违反,与是否有数据主体因此受到损害无关。多国监管机构已经专门针对缺失或不完善的数据处理协议开出罚单。有关GDPR整体框架的背景介绍,请参阅什么是GDPR?
控制者与处理者:为何区分至关重要
第4(7)条将控制者定义为“单独或与他人共同决定个人数据处理目的和方式的自然人、法人、公共机构、代理机构或其他团体”。第4(8)条将处理者定义为“代表控制者处理个人数据的自然人、法人、公共机构、代理机构或其他团体”。
控制者决定处理的“为什么”和“怎么做”:收集哪些数据、出于何种目的、依据何种合法基础,以及保留多长时间。处理者则在这些参数范围内运作,对数据执行技术性或组织性的任务,但不能独立设定处理目的,不能超出控制者指示保留数据,也不能为自身利益使用数据。
欧洲数据保护委员会的07/2020号指南明确指出,这种角色划分是功能性和事实性的,而非仅凭合同约定。在合同中将某一实体称为“处理者”,并不意味着它实际上就是处理者,如果它在实践中对处理目的或方式行使了独立判断权。一个从按指示处理逐渐演变为自行设定目的的实体,就会转变为控制者,无论双方在合同中如何为这层关系命名,其都将承担控制者的义务。
这一区分带来三个实际后果。第一,只有控制者需要依据第6条持有合法处理依据;只要处理者是在指示范围内运作,就无需单独具备合法依据。第二,控制者是对处理内容向监管机构承担主要责任的一方。第三,审计、配合与协助义务通过数据处理协议回归到控制者身上。
常见的处理者关系包括:代表控制者托管数据的云存储服务提供商;传输通信内容的电子邮件服务提供商;按雇主指示处理员工数据的薪资外包机构;按网站运营方条款处理访客数据的分析平台;以及依照既定脚本和数据库工作的外包客服提供商。
并非每一个接触个人数据的第三方都是处理者。共同控制者(第26条)、依据合法披露收到数据的接收方,以及为自身独立目的处理数据的实体,都不属于处理者。仅按客户书面指示处理数据的云基础设施提供商,显然属于处理者;而一家汇总多个客户数据、自行提炼洞见并向第三方出售这些洞见的营销分析公司,就该项独立处理活动而言,其本身就是控制者。
何时需要数据处理协议?
只要处理者代表控制者处理个人数据,就需要签订数据处理协议。第28(1)条将此义务施加于控制者,且不区分行业、组织规模、合同金额、处理量或数据敏感程度。即便是将电子邮件通讯外包给营销自动化平台的个体摄影师,也必须与该平台签订数据处理协议。该义务在任何处理开始之前即已产生;控制者若在没有事先签订书面数据处理协议的情况下就将数据传输给处理者,从数据发生转移的那一刻起即构成违规。
以下是几种数据处理协议常被忽视、但实际上明确要求签订的场景:
SaaS服务提供商。 当企业订阅某SaaS平台,且该平台在提供服务过程中处理该企业客户或员工数据时,该SaaS供应商即为处理者,必须签订数据处理协议。多数主要供应商都会发布标准版数据处理协议,但控制者仍有责任核实该文件是否完全满足第28(3)条的要求。
IT维护及支持承包商。 承包商即便预期不会阅读或使用数据,只要其被授予对包含个人数据的基础设施进行维护的临时访问权限,就已在代表控制者处理该数据。根据第4(2)条,访问行为本身即构成处理。
分析与广告技术。 在控制者网站上部署追踪技术、按控制者的配置处理访客数据的平台,就该部分活动而言属于处理者,即便该平台同时以独立控制者身份为自身广告目的处理数据。
外包人力资源与薪资处理。 外部薪资外包机构处理员工个人数据,仅限于履行雇主的薪资发放义务,其本身并不决定该处理的目的。
云基础设施提供商。 当企业在第三方云基础设施上运行自有应用程序时,该云服务商即在代表该企业处理个人数据。主要云服务商都提供标准版数据处理协议,但控制者不能仅凭供应商已发布该文件就高枕无忧,仍须主动完成签署确认。
当两个组织各自为自身独立目的处理个人数据、且各自均以控制者身份行事时,无需签订数据处理协议。共同控制者之间同样无需签订数据处理协议,但第26条要求他们之间另行订立单独安排。
八项强制性条款:第28(3)条全文解读
第28(3)条以八个分项条款规定了数据处理协议应包含的最低内容。每一项都不可省略,遗漏或实质性削弱任何一项,都会导致该数据处理协议不满足第28条的要求。
| 条款 | 具体要求 |
|---|---|
| 第28(3)(a)条 | 处理者仅按控制者记录在案的指示处理个人数据,包括涉及向第三国或国际组织传输的指示,除非欧盟或成员国法律另有要求;在此情况下,处理者须在处理之前告知控制者,除非该法律因重大公共利益理由禁止此类告知。 |
| 第28(3)(b)条 | 处理者须确保获授权处理个人数据的人员已承诺保密,或已受适当法定保密义务约束。 |
| 第28(3)(c)条 | 处理者须采取第32条要求的一切措施,即实施与风险相称的适当技术和组织安全措施。 |
| 第28(3)(d)条 | 处理者在引入另一处理者(即分处理者)时须遵守第28(2)条和第28(4)条规定的条件,包括事先取得控制者授权,并将同等义务向下传递给分处理者。 |
| 第28(3)(e)条 | 处理者须在可能的范围内,通过适当的技术和组织措施协助控制者履行其在第15条至第22条项下答复数据主体行使权利请求的义务。 |
| 第28(3)(f)条 | 处理者须考虑处理的性质及其可获得的信息,协助控制者确保遵守第32条的安全义务、第33条和第34条的数据泄露通知义务、第35条的数据保护影响评估义务,以及第36条的事先咨询义务。 |
| 第28(3)(g)条 | 在提供处理相关服务结束后,处理者应按控制者的选择删除或返还全部个人数据,并删除现有副本,除非欧盟或成员国法律要求保留该个人数据。 |
| 第28(3)(h)条 | 处理者须向控制者提供证明其遵守第28条义务所需的一切信息,并允许并配合控制者或控制者委托的其他审计人员进行审计,包括现场检查。若处理者认为某项指示违反本条例或欧盟或成员国其他数据保护规定,须立即告知控制者。 |
除这八项强制性条款外,第28(3)条还要求合同明确处理的标的和期限、处理的性质和目的、个人数据的类型、数据主体的类别,以及控制者的义务和权利。这些参数划定了处理者合法运作的外部边界。
(a)项:仅按指示处理
第28(3)(a)条规定的“记录在案的指示”要求,是处理者关系中最基础的控制机制。“记录在案”意味着以书面或其他可记录方式作出;对于任何实质性影响处理范围的指示而言,口头指示都是不够的。
数据处理协议本身设定了主要指示(数据类别、允许的处理操作、保留期限),服务协议则以操作细节加以补充。超出原有范围的临时性指示也必须予以记录。第28(3)条最后一句规定的“处理者须对其认为违反GDPR的任何指示进行提示”的义务,与该条款相辅相成:如果处理者在未提出异议的情况下执行了一项其明知违法的指示,就有可能失去第82(3)条为遵守指示所提供的责任保护。
如果处理者或其分处理者在欧洲经济区以外运营基础设施,数据处理协议必须明确授权此类传输,并根据GDPR第五章确定所适用的传输机制。参见GDPR国际数据传输指南。
(c)项:第32条安全义务
第28(3)(c)条将第32条的义务直接施加于处理者。第32(1)条规定了这些安全措施必须涵盖的内容:假名化和加密;确保处理系统持续保密性、完整性、可用性和韧性的能力;在发生物理或技术事件后及时恢复个人数据可用性和访问权限的能力;以及定期测试和评估技术和组织措施有效性的流程。
适当的措施须综合考虑技术水平、实施成本,以及处理的性质、范围、背景和目的,还须兼顾对自然人权利和自由造成的风险。对处理匿名化分析数据的处理者而言的适当措施,与处理健康数据或财务记录所需的措施完全不同。若一份数据处理协议未针对具体处理的数据类别明确处理者应达到的安全标准,则属于不达标。
(f)项:协助数据泄露通知和数据保护影响评估
第28(3)(f)条施加了一项具有时间紧迫性的配合义务。根据第33(1)条,控制者必须在不无故拖延的情况下,如可行则在72小时内向其监管机构通报个人数据泄露事件。控制者只有在其处理者具备及时侦测、记录并通知控制者的机制时,才能满足这一期限要求。
数据处理协议应明确规定处理者须在特定期限内(多数协议采用24至48小时)将任何潜在数据泄露事件通知控制者,并须提供第33(3)条要求的信息:泄露的性质、受影响数据主体的类别及大致数量、涉及记录的类别及大致数量、可能造成的后果,以及已采取或拟采取的应对措施。仅笼统提及第33条并不足够。
数据保护影响评估的协助义务同样具有实际意义。根据第35条,控制者在开展可能对数据主体产生高风险的处理活动之前,必须进行数据保护影响评估。处理者往往掌握完成风险评估所需的技术信息,数据处理协议应明确规定处理者的配合义务。
(h)项:审计权
处理者通常倾向于以第三方审计认证(如ISO 27001或SOC 2 Type II)来满足第28(3)(h)条的要求,而不愿意让控制者直接访问系统和记录。欧洲数据保护委员会07/2020号指南确认,第三方认证可以作为合规证据,但不能因此排除控制者在有具体合规疑虑时行使自主审计权的权利。若一项数据处理协议条款完全以认证文件取代审计权,则不满足第28(3)(h)条的要求,已受到监管机构的批评。
分处理者与义务下传规则
分处理者是指处理者代表控制者委托进行特定处理活动的任何第三方。第28(2)条要求处理者在引入任何分处理者之前,须事先取得控制者的特定或概括性书面授权。
若控制者给予概括性授权,第28(2)条要求处理者就新增或替换分处理者的任何拟议变更告知控制者,使控制者有机会提出异议。数据处理协议必须设置足够的通知期限,使控制者能够行使这一权利,多数协议设定为提前30天通知。
第28(4)条规定了义务下传规则:处理者引入分处理者时,必须对该分处理者施加与控制者和处理者之间合同相同的数据保护义务。若分处理者未能履行其义务,最初的处理者仍须对控制者承担全部责任。
处理链条中的每一环节都必须受到符合第28条要求的协议约束。责任沿着链条全部回归至处理者,而处理者也必须相应确保其与下游分处理者之间的合同提供充分的保护。
管理复杂供应商链条的控制者,应将其处理者及各处理者声明的分处理者纳入其处理活动记录(第30条)加以梳理。许多处理者会公布分处理者名单,并承诺就变更事项提前通知。
欧盟委员会的第28条标准合同条款
GDPR允许数据处理协议全部或部分基于欧盟委员会或监管机构通过的标准合同条款订立(第28(6)条和第28(7)条)。
2021年6月7日在《欧盟官方公报》L 199/31号上公布的《(欧盟)2021/914号委员会实施决定》采纳了用于国际数据传输的标准合同条款。该决定包含四个模块,其中包括模块二(控制者对处理者)和模块三(处理者对处理者),适用于处理活动涉及欧洲经济区以外传输时的第五章传输义务。这些国际传输标准合同条款与第28条标准合同条款相互独立,但可以配合使用。完整说明请参阅GDPR国际数据传输指南。
同样于2021年6月4日公布的《(欧盟)2021/915号委员会实施决定》,专门为欧盟及欧洲经济区内部的控制者与处理者协议采纳了独立的标准合同条款(“第28条标准合同条款”)。未经修改而直接采用该条款的各方,可以援引欧盟委员会对该条款充分性的认定。该条款采用模块化、可调整的结构,附有清晰标注的可选条款和附录,供各方填写具体处理参数(数据类别、目的、安全措施、分处理者名单等)。
各方可以在第28条标准合同条款之外增加商业条款,但前提是这些增补内容不得与强制性条款相抵触,也不得降低对数据主体的保护水平。若各方希望将第28条标准合同条款与第五章传输标准合同条款一并纳入同一份协议,欧盟委员会的指导文件确认这两套条款可以合并使用。
数据处理协议与国际数据传输
每当数据处理协议下的处理涉及向欧洲经济区以外传输个人数据时,该协议就必须处理第五章的合规问题。第28(3)(a)条已经要求数据处理协议涵盖任何关于向第三国传输数据的指示。
若整个处理关系都在欧洲经济区内进行,第28条标准合同条款即可完全覆盖该关系。若处理者在欧洲经济区以外运营基础设施,但目的地国家已获得欧盟充分性认定(例如英国、日本,或经数据隐私框架认证的美国机构),数据处理协议须将该充分性认定确定为传输依据,并确认处理者及接收数据的任何分处理者均在该认定的覆盖范围之内。若不存在充分性认定,数据处理协议必须纳入相应的第五章机制:对于控制者对处理者的跨境关系而言,通常为2021年国际传输标准合同条款的模块二,该模块还要求根据第14条条款进行传输影响评估。
控制者若与某美国云服务商签订了符合第28条要求的数据处理协议,却未单独纳入国际传输标准合同条款的模块二,则只是部分合规:处理关系本身受到规范,但传输行为本身缺乏有效的法律依据。GDPR合规清单涵盖了同时处理这两个层面所需的步骤。
谁来起草数据处理协议?
GDPR将确保数据处理协议到位的义务施加于控制者。实践中,大型处理者(SaaS供应商和云服务商)通常会制作标准格式的数据处理协议,因为他们要与成百上千的控制者签约,无法为每一方逐一量身定制合同。
从控制者的角度看,这带来的是一项尽职调查义务,而非起草义务。控制者若未审查内容就在处理者的数据处理协议上签字,即便该协议恰好合规,也未履行其在第5(2)条项下的问责义务。如果处理者的标准数据处理协议存在缺陷,控制者应协商修改条款,或另寻能提供合规协议的处理者。
委托未提供自有标准数据处理协议的小型服务商的控制者,必须自行起草协议,或以欧盟委员会的第28条标准合同条款为基础制定。第28条标准合同条款可在欧盟委员会官网公开获取,且可免费使用。
在第26条项下的共同控制者安排中,第28条的义务并不适用于共同控制者之间。第26条要求他们之间就各自责任另行订立透明的安排,其适用规则与数据处理协议不同。
未签订数据处理协议的后果
未能签订合规的数据处理协议本身即构成独立的GDPR违规行为。第83(4)条将第28条列为可处以最高1000万欧元或全球年营业总额百分之二(以较高者为准)行政罚款的条款。若数据处理协议的缺失反映出更广泛的问责机制失灵,监管机构也曾适用第5条和第25条项下更高一级的第83(5)条罚款。
监管机构还可以根据第58(2)条行使更正性权力:发出警告、训诫和合规指令;临时或永久限制或禁止处理活动;以及责令暂停向某处理者传输数据的数据流。当该处理者提供的是关键业务基础设施时,临时处理禁令在运营层面造成的损害,可能比罚款本身更为严重。
第82条项下的民事责任是另一项独立风险。若没有数据处理协议界定处理者的范围和义务,控制者可能难以证明该处理活动是合法的。执法决定是公开的,一旦发现某公司在没有任何数据处理协议的情况下通过服务提供商处理个人数据,就意味着系统性治理失灵,往往会招致更广泛的审查。
有据可查的执法案例包括瑞典数据保护局(IMY)曾因控制者与供应商之间缺乏充分的处理协议而对其处罚,以及爱尔兰数据保护委员会在多起大型科技公司调查中认定处理者与控制者之间的合同安排不充分。
控制者的关键实践步骤
梳理处理者。 识别所有代表控制者处理个人数据的第三方。第30条要求的处理活动记录是完成这项工作的自然工具。在数据传输给每一个已识别的处理者之前,都必须签订合规的书面数据处理协议。
评估适格性。 第28(1)条要求对每一个处理者的技术和组织安全措施、分处理者安排、数据泄露通知流程、审计配合态度,以及协助数据主体权利请求的能力进行尽职调查。尽职调查可以包括审查第三方审计认证、完成供应商安全问卷调查,以及审查处理者的隐私文件。
签订合规的数据处理协议。 使用欧盟委员会的第28条标准合同条款是满足强制性条款要求最直接的途径。若处理涉及国际传输,还必须纳入或单独签订欧盟委员会国际传输标准合同条款的模块二。
管理分处理者变更。 若数据处理协议规定了概括性分处理者授权机制,应建立流程以接收和审查分处理者变更通知,并在拟议分处理者引发合规疑虑时行使异议权。
维护数据处理协议。 处理者会更新其服务、增加分处理者、更换数据中心并修订安全措施。每当所涵盖的处理活动发生实质性变化时,都应对数据处理协议进行审查。
有关数据处理协议在更广泛GDPR合规方案中的定位,请参阅GDPR合规清单。
管辖范围说明: 本文讨论的是《(欧盟)2016/679号条例》(GDPR)项下的数据处理协议要求,该条例适用于欧盟及欧洲经济区,也适用于依据第3条GDPR域外效力规定而受GDPR管辖的欧盟/欧洲经济区以外设立的处理者和控制者。本文不单独讨论英国GDPR(脱欧后仍保留同等的第28条要求),也不讨论《(欧盟)2018/1725号条例》下针对欧盟机构数据保护规则的特定行业处理合同。
免责声明: 本文就GDPR第28条及数据处理协议提供一般性法律信息,信息截至2026年6月。本文不构成法律意见,不应被作为法律意见依赖。文中所述法律要求反映的是发布之日的GDPR及欧盟委员会与欧洲数据保护委员会的官方指导意见,相关法律和指导意见可能发生变化。如需针对贵组织具体情况提供意见,请咨询在相关司法辖区获得执业资格的合格律师。
Frequently Asked Questions
GDPR下的数据处理协议是什么?
数据处理协议(DPA)是GDPR第28条要求控制者在处理者代表其处理个人数据之前,与每一个处理者签订的书面合同。该协议必须载明处理的标的、期限、性质和目的,并须包含第28(3)条列出的八类强制性义务,包括处理者仅按记录在案的指示处理数据、保密义务、实施安全措施、管理分处理者、协助数据主体行使权利、协助数据泄露通知和数据保护影响评估、在关系结束时删除或返还数据,以及配合审计。
什么情况下需要签订GDPR数据处理协议?
只要处理者代表控制者处理个人数据,就需要签订数据处理协议。该义务不因行业、组织规模、合同金额或所涉数据的敏感程度而有所不同,且适用于任何处理开始之前。常见的需要签订数据处理协议的情形包括:托管控制者数据的云存储服务商、处理客户记录的SaaS平台、处理员工数据的薪资外包机构、处理网站访客数据的分析服务商,以及可访问包含个人数据系统的IT支持承包商。共同控制者之间(第26条另有单独义务)或第三方完全为自身独立目的处理数据的情形,则无需签订数据处理协议。
GDPR数据处理协议必须包含哪些内容?
第28(3)条规定了八类强制性条款:(a)仅按控制者记录在案的指示处理数据;(b)确保获授权人员承担保密义务;(c)实施第32条安全措施;(d)遵守分处理者授权和义务下传要求;(e)协助控制者应对数据主体权利请求;(f)协助第33条和第34条的数据泄露通知、第35条的数据保护影响评估及第36条的事先咨询;(g)在服务结束后删除或返还全部个人数据;以及(h)提供审计和检查所需信息,并在发现任何指示可能违反GDPR时立即告知控制者。除这些条款外,数据处理协议还必须明确处理的标的、期限、性质、目的、数据类型及数据主体类别。
数据处理协议由控制者还是处理者提供?
根据第28(1)条,确保数据处理协议到位的法律义务落在控制者身上。实践中,大型处理者(云服务商和SaaS供应商)通常会起草并发布标准版数据处理协议,供控制者接受。控制者不能通过未经审查即签署数据处理协议,将其法定义务转移给处理者。控制者必须核实处理者提供的数据处理协议是否满足第28(3)条的全部八项要素。若处理者未提供标准版数据处理协议,控制者必须自行起草,或以欧盟委员会的第28条标准合同条款(《2021/915号实施决定》)为基础制定。
GDPR下控制者与处理者有何区别?
第4(7)条将控制者定义为决定个人数据处理目的和方式的主体,即决定为何处理数据以及如何处理。第4(8)条将处理者定义为代表控制者处理个人数据、按控制者指示行事、不独立决定处理目的的主体。欧洲数据保护委员会07/2020号指南确认,这一区分是功能性和事实性的:在合同中将某一方称为处理者,并不意味着它就是处理者,如果它对处理目的行使了独立控制权。开始自行决定处理目的的处理者,将依据第28(10)条转变为控制者,并承担完全的控制者责任。
欧盟委员会的标准合同条款能否作为数据处理协议使用?
可以。2021年6月4日通过的《(欧盟)2021/915号委员会实施决定》专门为第28条项下的控制者与处理者关系采纳了标准合同条款。这些第28条标准合同条款提供了预先获批的示范文本,未经修改使用时可自动满足第28(3)条强制性条款的要求。各方须在附录中填写具体的处理参数(数据类别、目的、安全措施、分处理者名单等)。第28条标准合同条款与《(欧盟)2021/914号决定》下的2021年国际传输标准合同条款相互独立,若同时涉及国际传输,可能需要同时使用这两套条款。
未签订数据处理协议会有什么后果?
未签订合规的数据处理协议本身即构成独立的GDPR违规行为,依据第83(4)条可处以最高1000万欧元或全球年营业总额百分之二(以较高者为准)的行政罚款。若数据处理协议的缺失是更广泛问责机制失灵的一部分,还可能适用第83(5)条更高一级的罚款。除罚款外,监管机构还可依据第58(2)条发布处理禁令,从而可能中断企业运营。控制者还可能因数据主体遭受损害而依据第82条承担民事责任。瑞典IMY和爱尔兰数据保护委员会等多国监管机构均曾就缺失或不完善的处理协议作出过执法决定。
什么是分处理者?第28条如何对其加以规范?
分处理者是处理者委托代表控制者开展特定处理活动的第三方。第28(2)条要求处理者在引入任何分处理者之前,须事先取得控制者的特定或概括性书面授权。若给予的是概括性授权,处理者必须就分处理者的任何变更告知控制者,并给予控制者提出异议的机会。根据第28(4)条,处理者必须对每一个分处理者施加与控制者和处理者数据处理协议中相同的数据保护义务,若分处理者未能履行义务,处理者仍须对控制者承担全部责任。
数据处理协议是否需要处理国际数据传输问题?
如果处理者或其任何分处理者将把个人数据传输至欧洲经济区以外,数据处理协议就必须处理第五章的合规问题。第28(3)(a)条要求数据处理协议涵盖向第三国传输数据的任何指示。若目的地国家已获得有效的充分性认定,数据处理协议应予以载明。若不存在充分性认定,数据处理协议必须纳入相应的第五章机制,对于控制者对处理者的传输而言,通常为《(欧盟)2021/914号委员会实施决定》下2021年标准合同条款的模块二。第28条标准合同条款与国际传输标准合同条款可以合并纳入同一份协议。
GDPR数据处理协议中的“记录在案的指示”是什么意思?
第28(3)(a)条要求处理者仅按控制者记录在案的指示处理个人数据。“记录在案”指以书面或其他可记录方式作出。数据处理协议本身构成主要的指示集合,明确了允许的处理操作、数据类别、目的和保留期限。服务关系过程中作出的临时性指示同样必须予以记录方能生效。第28(3)条最后一句规定,若处理者认为任何指示违反GDPR或其他适用的[数据保护法律](/us-laws/data-privacy-laws),须立即告知控制者。若处理者明知某项指示不合法却仍予执行而未提出异议,就有可能失去第82(3)条为遵守记录在案指示所提供的责任保护。
Sources and References
- GDPR《(欧盟)2016/679号条例》,第4条、第28条、第32条、第33条、第35条、第82条及第83条(eur-lex.europa.eu)
- 《(欧盟)2021/914号委员会实施决定》,国际传输标准合同条款(eur-lex.europa.eu)
- 《(欧盟)2021/915号委员会实施决定》,控制者与处理者之间的标准合同条款(eur-lex.europa.eu)
- 欧洲数据保护委员会关于GDPR下控制者和处理者概念的07/2020号指南(edpb.europa.eu)
- 欧盟委员会:数据传输标准合同条款(commission.europa.eu)