在《通用数据保护条例》颁布三周年之际，库利发起了一系列侧重于GDPR的网络研讨会。

数据处理协议（DPA）由控制器和处理者使用，以根据GDPR的要求正式确定其数据处理安排。我们的第三次网络研讨会涵盖了我们认为组织在DPA方面最重要的10个考虑因素。

#1： 什么是DPA？

DPA是控制方和处理方之间具有约束力的合同，详细说明了双方之间的数据处理安排，是GDPR第28条的要求。如果处理方分包数据处理安排，则处理方有额外的义务：它必须在与子处理方的协议中与控制方签订的数据处理条款中向下流动。

DPA通常是一个独立的文档，但也可以作为业务合同的附录。

#2： 谁负责确保控制器到处理者（C2P）DPA就位？

欧洲数据保护委员会（European Data Protection Board）明确规定，控制者和处理者都有义务制定DPA，而《控制者和处理者指南》规定，如果处理者和控制者没有DPA，监管机构可以处以罚款。

#3： 是否有C2P DPA的标准形式？

欧盟委员会发布了一套新的标准合同条款（SCC），基本上起到了DPA模板的作用，但它们的使用不是强制性的。想要使用它们的组织可能会发现，它们需要用额外的商业条款来补充它们。

#4： 就C2P DPA下的责任限制而言，“市场”是什么？

不幸的是，在责任条款方面没有一刀切的做法。市场还不够成熟，这可能就是为什么通常会出现无限责任条款和常规上限、具有特定数字或倍数的超级上限以及赔偿（例如，在数据泄露的情况下）。

#5： 根据C2P DPA，控制人应承担哪些义务（如有）？

虽然DPA上的大多数义务是针对处理者的，但通常会看到数据控制器上的义务，例如，发布符合GDPR的指令。如果处理活动的性质涉及对控制器系统的访问，则控制器有义务保持足够的安全措施，并明确谁负责实施这些安全措施，这一点很重要。

#6： C2P DPA中处理者的安全要求应包含多少细节？

需要详细描述安全措施，以允许控制器评估其是否准确。未经控制员批准，处理者不得对安全措施进行任何更改。

#7： 处理者如何更好地简化DPA下子处理者的参与？

为了更好地简化与子处理者的协作，建议处理者具有模板DPA，并将数据义务从控制器DPA向下流到子处理者，因为两个DPA上的义务保持一致至关重要。

#8： 处理者如何限制遵守DPA下审计要求的潜在成本？

GDPR赋予控制员进行审计的权利，以检查处理者是否遵守其义务。作为一个处理者，缩小这一要求的一种方法是向控制员提供处理者的审计报告或证书，表明其遵守（例如）商定的安全措施。

#9： 如果发生个人数据泄露，处理者需要做什么？

如果发生个人数据泄露，处理者需要及时通知控制者，并提供控制者评估是否向主管监管机构通报泄露情况所需的信息。

#10： 英国脱欧对DPA的起草产生了什么影响（如果有的话）？

我们现在有两个处理个人数据的法律框架：欧盟GDPR和英国GDPR。因此，在起草DPA时，需要考虑这两个框架。

本文：https://cioctocdo.com/data-processing-agreements-10-most-important-cons…