2026最新GDPR数据隐私合同.docxVIP

2026最新GDPR数据隐私合同

第一条定义

1.1“数据主体”指其个人数据被处理的自然人。

1.2“个人数据”指任何已识别或可识别的自然人相关的信息。

1.3“处理”指对个人数据或个人数据集合执行的任何操作或一组操作。

1.4“数据控制者”指单独或与他人共同决定个人数据处理目的和方式的自然人、法人、公共机构、行政机关或其他机构。

1.5“数据处理者”指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他机构。

1.6“GDPR”指欧盟《通用数据保护条例》（Regulation(EU)2016/679）及其任何修订、补充或替代法规。

第二条合同双方

2.1数据控制者

名称：________

地址：________

联系方式：________

2.2数据处理者

名称：________

地址：________

联系方式：________

第三条处理的性质与目的

3.1数据处理者同意代表数据控制者并根据其书面指示处理个人数据。处理活动仅限于以下目的：________。

3.2处理的个人数据类型包括：________。

3.3数据主体的类别包括：________。

3.4处理的持续时间应与数据控制者提供服务的期限一致，或直至数据控制者书面指示删除或返还数据。

第四条数据处理者的义务

4.1数据处理者应仅根据数据控制者的书面指示处理个人数据，包括关于个人数据向第三国或国际组织传输的指示，除非欧盟或成员国法律要求处理；在此种情况下，数据处理者应在处理前通知数据控制者该法律要求，除非该法律出于重要公共利益禁止此类通知。

4.2数据处理者应确保有权处理个人数据的人员已承诺保密或承担适当的法定保密义务。

4.3考虑到技术发展、实施成本和处理的性质、范围、背景和目的，以及给自然人权利和自由带来的风险，数据处理者应采取一切必要措施，实施适当的技术和组织措施，确保与风险相称的安全水平。

4.4在可行的情况下，数据处理者应协助数据控制者采取适当的技术和组织措施，以履行数据控制者回应数据主体行使其GDPR下权利的请求的义务。

4.5考虑到处理的性质和可获得的信息，数据处理者应协助数据控制者确保遵守GDPR第32至36条规定的关于数据安全、数据保护影响评估和事先咨询的义务。

4.6根据数据控制者的选择，在处理关系结束时，数据处理者应删除或返还所有个人数据给数据控制者，并删除现有副本，除非欧盟或成员国法律要求存储个人数据。

4.7数据处理者应向数据控制者提供所有必要信息，以证明其遵守本条规定的义务，并允许并配合由数据控制者或数据控制者授权的另一审计员进行的审计，包括检查。

第五条子处理

5.1数据处理者未经数据控制者事先书面授权，不得聘用另一处理者。

5.2数据处理者应将其计划增加或替换子处理者的任何变动通知数据控制者，使数据控制者有机会反对此类变动。

5.3数据处理者与子处理者之间的合同安排，应施加与本合同条款实质相同的义务，特别是关于提供足够保证实施适当技术和组织措施的义务。

5.4数据处理者对其子处理者的行为或不作为负责，如同其自身的行为或不作为。

第六条数据主体权利

6.1数据处理者应采取适当的技术和组织措施，考虑到处理的性质，尽可能协助数据控制者履行其回应数据主体行使其访问权、更正权、删除权、限制处理权、数据可携带权、反对权以及不受自动化决策约束的权利的义务。

6.2数据处理者应迅速通知数据控制者其收到的来自数据主体的任何请求，不得直接回应该请求，除非数据控制者书面授权。

第七条个人数据泄露

7.1数据处理者应在发现个人数据泄露后不迟于二十四小时内通知数据控制者。

7.2通知应至少包括以下信息：对泄露性质的描述、可能受影响的数据主体类别和个人数据记录的大致数量、可能造成的后果、数据处理者为解决泄露已采取或建议采取的措施。

7.3数据处理者应与数据控制者合作，采取合理措施协助调查泄露事件并减轻其影响。

7.4数据处理者应记录所有个人数据泄露事件，包括相关事实、影响和采取的行动。

第八条向第三国或国际组织传输

8.1数据处理者不得将个人数据传输至欧洲经济区以外的国家或国际组织，除非数据控制者事先书面授权，且传输符合GDPR第五章规定的条件。

8.2若传输涉及使用欧盟委员会通过的标准合同条款，本合同应被视为该等条款的补充，且在不冲突的范围内，本合同的条款应优先适用。

第九条费用与支付

9.1数据控制者应根据双方另行约定的服务协议，向数据处理者支付数据处理服务费用。

9.2因履行本合同第四条、第五条、第六条和第七条规定的协助、审计、安全措施或泄露响应义务而产生的合理且事先经数据控制者书面同意的额外费用，应由数据控制者承担。

第十条责任与赔偿

10.1任何