GDPR – 信息隐私标准 – 第 P.4 章 – 订单处理

fabiha01

在GDPR 标准目录系列的上一篇文章（信息隐私标准）中，我们讨论了客户的信息义务，而今天我们将致力于讨论订单处理的重要方面。

P.4 章 订单处理
许多公司依靠外部服务提供商来提供服务——例如，在数据中心的托管或住房服务范围内或在服务提供领域。如果处理个人数据，则必须满足各种数据保护要求。

P.4 章 - 订单处理根据第 28 条及以下条款提供具体指导。 GDPR。本章分为三个小节，涵盖以下几个方面：

4.1 – 订单处理合同（AV合同）
4.2-根据AV合同实施措施
4.3 – 审计
下面我们解释各个子章节的要求，并展示可以提供哪些证据来实施。

第 4.1 页。订单处理合同（AV合同）
为了保护受影响者的权利和自由，并确保所雇用的服务提供商在处理数据时具有适当的数据保护级别，需要签订第 14 条规定意义上的订单处理合同。 S. d.艺术。客户和服务提供商之间的 28 GDPR。可能有以下几种星座：

控制器和处理器
这涉及订单处理的经典流程：在这里，一家公司使用一个服务提供商。在这种情况下，除了服务合同外，还必须根据第 14 条签订订单处理合同。 GDPR 第 28（3）条。

处理器和控制器
处理器是否应根据 GDPR 信息隐私标准进行认证，例如基于第 1.10 点。标准目录，还必须根据第 6 条与相应的控制者签订相应的订单处理合同。 GDPR 第 28（3）条。

处理器和子处理器
如果处理器和子处理器之间存在关系，则还需要订单处理合同。 S. d.艺术。第28段4 GDPR。

所有星座的共同点是，为订单处理而签订的合同必须符合艺术的要求。 28 及以下GDPR。主要内容有：

处理的主题和持续时间
处理的类型和目的
所有类型个人数据的完整列表
数据主体的类别
控制者的权利和义务
根据第 20 条采取的技术和组织措施。 32 GDPR
有关欧盟/欧洲经济区内部或外部数据处理的信息
（加工商）使用的分包商列表
处理者有义务提供指示
根据《条例》规定，处理器的义务。 32 ff. GDPR
合同结束后返还或删除已处理的数据
处理者自行进行审计以及控制者的审计权利
要求的实施可以通过订单处理合同、处理者的技术和组织措施、现有证书（例如 ISO/IEC 27001）、美国商业传真列表 指导文件和/或承诺声明、数据保护违规日志、流程描述、删除日志和删除概念、审计报告以及控制者数据保护管理系统内的审计计划来证明。

P.4.2 根据AV合同采取措施
本章节涉及证明数据处理合同中约定的措施的合规实施的义务。必须清楚地记录处理器是否确实实施了这些措施。这尤其适用于：

规范指令发出机构的措施
获授权人士的保密义务
根据第 20 条实施的技术和组织措施。 32 GDPR
数据处理地点
使用分包商
履行抚养义务
返回和删除
控制者的审计权
所采取措施的实施证据尤其可以从程序说明和工作指示中获得，其中包括关于指示权限和保密性的内部规定、受托处理的员工的保密书面协议以及他们在数据保护方面的培训证书。此外，实施的技术和组织安全措施、现有的安全概念、风险管理文件、分包商的测试报告、灭火概念以及审计报告和测试计划也可以作为合适的证据。

P.4.3 – 审计