Enterprise

Data Processing Agreement GDPR, dijelaskan

Cakupan pemrosesan, sub-processor, mekanisme transfer, dan eksekusi — apa yang dicakup DPA dan jalur persis yang diikuti tim privasi Anda untuk menandatanganinya.

Data Processing Agreement GDPR Ciao adalah kontrak yang mengatur bagaimana Ciao memproses data pribadi atas nama Anda: cakupan pemrosesan, sub-processor yang terlibat — termasuk provider model yang beroperasi di bawah kontrak tanpa retensi — dan mekanisme transfer yang berlaku. Berbeda dari vendor yang memperlakukan DPA sebagai pemikiran belakangan, Ciao merutekannya melalui jalur procurement yang jelas sehingga tim legal Anda meninjau dan mengeksekusi dokumen sesungguhnya, bukan rangkuman.

Ideal untukTinjauan privasi dan DPOOnboarding vendor GDPRDue diligence sub-processor

Dipublikasikan 2026-07-03 · Terakhir diperbarui 2026-07-03

Kenapa DPA adalah titik di mana platform AI terjebak

Bagi tim privasi Eropa — atau tim mana pun yang melayani pengguna Eropa — DPA bukan berkas administratif, itu adalah kontrolnya. DPA mendefinisikan apa yang boleh dilakukan prosesor dengan data pribadi, sub-processor mana yang menyentuhnya, dan atas dasar hukum apa data melintasi perbatasan. Platform pengembangan AI menambahkan lapisan yang tidak pernah diantisipasi template DPA lama: provider model, duduk di rantai pemrosesan, dengan perilaku retensinya sendiri.

Di sinilah banyak evaluasi alat AI terhenti. Demo produknya berjalan lancar, lalu kantor privasi meminta daftar sub-processor dan syarat retensi provider modelnya, dan jawaban vendornya adalah thread tiket dukungan. Berminggu-minggu berlalu. Kesepakatan — dan proyek internal — mati di celah itu, bukan karena jawabannya buruk tapi karena tidak ada yang menuliskannya.

Pendekatan Ciao adalah menjadikan DPA artefak procurement kelas satu. Perjanjiannya mencakup pemrosesan yang dilakukan Ciao untuk mengoperasikan platformnya, menyebutkan kategori sub-processor yang terlibat, dan berdampingan dengan komitmen yang ingin dilihat peninjau Anda di sebelahnya: kode pelanggan tidak digunakan untuk melatih model, inferensi berjalan di bawah kontrak model tanpa retensi, dan laporan SOC 2 Type II tersedia di bawah NDA.

Apa yang dicakup DPA

  • Cakupan dan peran pemrosesan — Apa yang diproses Ciao atas nama Anda untuk mengoperasikan platform, dalam peran apa, dan untuk tujuan apa — fondasi pengontrol-prosesor tempat penilaian privasi Anda dibangun.
  • Sub-processor — Kategori sub-processor di balik platform — infrastruktur cloud dan provider model di antaranya — dengan daftar terkini dipelihara sebagai bagian dari kumpulan dokumen DPA yang ditinjau tim Anda sebelum menandatangani.
  • Provider model di dalam bingkai — Lapisan model diperlakukan sebagai bagian dari rantai pemrosesan, bukan pengecualian darinya: inferensi berjalan di bawah kontrak model tanpa retensi, dan kode pelanggan tidak digunakan untuk melatih model.
  • Mekanisme transfer — Mekanisme hukum yang berlaku untuk transfer lintas batas mana pun didokumentasikan dalam perjanjiannya, sehingga DPO Anda menilai bahasa sesungguhnya, bukan jaminan.
  • Postur deployment yang mempersempit pertanyaannya — Deployment ke akun AWS, Azure, atau GCP Anda sendiri, VPC privat, atau on-prem di bawah syarat terpisah menjaga data aplikasi tetap di dalam infrastruktur yang Anda kendalikan, menyederhanakan analisis residensi. Lihat halaman residensi data untuk dimensi itu.
  • Langkah keamanan dengan bukti di baliknya — Langkah teknis dan organisasional yang dirujuk DPA terhubung ke artefak yang bisa diverifikasi: laporan SOC 2 Type II di bawah NDA dan security pack atas permintaan.

Cara mengeksekusi DPA

  1. 1. Minta kumpulan dokumen

    Hubungi tim enterprise melalui halaman kontak dan minta DPA bersama security pack — keduanya dirancang untuk ditinjau bersama.

  2. 2. Tinjau cakupan dan sub-processor

    Tim privasi Anda memetakan deskripsi pemrosesan dan daftar sub-processor terhadap catatan pemrosesan dan kerangka risiko Anda.

  3. 3. Nilai lapisan modelnya

    Tinjau komitmen tanpa retensi dan tanpa pelatihan sebagai bagian dari latihan yang sama; jika Anda membawa kunci atau endpoint model sendiri, syarat provider yang sudah ada masuk ke dalam analisisnya.

  4. 4. Selesaikan pertanyaan dengan rekan kontak

    Pertanyaan DPA dirutekan ke tim enterprise sebagai bagian dari procurement — proses bernama, bukan forum komunitas.

  5. 5. Eksekusi dan arsipkan

    DPA yang ditandatangani menjadi bagian dari berkas vendor Anda bersama laporan SOC 2 Type II yang ditinjau di bawah NDA, memberi auditor Anda satu kumpulan bukti yang koheren.

Catatan verifikasi dan komersial

Halaman seperti ini tidak bisa menggantikan perjanjiannya sendiri, dan tidak mencoba: DPA, daftar sub-processor, dan syarat penanganan data adalah dokumen yang dibaca tim legal Anda secara lengkap selama procurement. Yang dijanjikan halaman ini adalah jalurnya — minta melalui halaman kontak, tinjau bersama rekan kontak enterprise bernama, eksekusi sebagai bagian dari keterlibatannya. Eksekusi DPA termasuk dalam procurement enterprise, bukan dijual terpisah; program produksi serius mulai dari 10.000 USD per tahun. Tidak ada yang di sini merupakan nasihat hukum — ini deskripsi alur kerja dan dokumennya, untuk orang-orang yang pekerjaannya menilai itu.

Satu tip praktis dari tim yang sudah menjalankan tinjauan ini dengan cepat: paralelkan. Kirim DPA ke privasi, laporan SOC 2 Type II ke keamanan, dan syarat komersial ke procurement di minggu yang sama — kumpulan dokumennya dirancang agar ketiga tinjauan itu tidak saling menghalangi, dan tim enterprise bisa menangani ketiga thread sekaligus.

Checklist peninjau DPA, dipetakan

Pertanyaan peninjauDi mana jawabannya berada
Pemrosesan apa yang dilakukan vendor?Cakupan pemrosesan di DPA
Siapa sub-processor-nya?Daftar sub-processor di kumpulan dokumen DPA
Apakah provider model menyimpan atau melatih dengan data kami?Kontrak model tanpa retensi; tidak ada pelatihan pada kode pelanggan — syarat kontraktual
Mekanisme transfer apa yang berlaku?Ketentuan transfer di DPA
Langkah keamanan apa yang mendukung ini?Laporan SOC 2 Type II di bawah NDA; security pack atas permintaan
Di mana data aplikasi secara fisik berjalan?Postur deployment: cloud Ciao, akun cloud Anda, VPC privat, atau on-prem di bawah syarat terpisah

Pertanyaan yang sering diajukan

Bagaimana kami mendapatkan DPA-nya?

Minta melalui halaman kontak sebagai bagian dari percakapan enterprise. Dokumennya datang bersama security pack dan syarat penanganan data sehingga tinjauan privasi dan keamanan Anda bisa berjalan paralel, bukan berurutan.

Apakah provider model terdaftar sebagai sub-processor?

Lapisan model didokumentasikan sebagai bagian dari rantai pemrosesan di kumpulan dokumen DPA, bersama komitmen yang paling penting: inferensi berjalan di bawah kontrak model tanpa retensi, dan kode pelanggan tidak digunakan untuk melatih model.

Bagaimana perubahan sub-processor dikomunikasikan?

Mekanisme notifikasinya didefinisikan di DPA itu sendiri — tim Anda meninjau syarat sesungguhnya selama procurement, bukan mengandalkan parafrase di sini. Daftar sub-processor terkini adalah bagian dari kumpulan dokumen yang Anda terima.

Apakah deployment di cloud kami sendiri mengubah analisis DPA?

Ini mempersempitnya. Ketika aplikasinya berjalan di akun AWS, Azure, atau GCP Anda sendiri, VPC privat, atau on-prem di bawah syarat terpisah, data aplikasi tetap di dalam infrastruktur yang Anda kendalikan, yang menyederhanakan pertanyaan residensi dan transfer yang harus dijawab DPO Anda.

Bisakah penasihat hukum eksternal kami meninjau sebelum kami berkomitmen secara komersial?

Ya. DPA dan security pack dibagikan selama procurement justru agar tinjauan legal terjadi sebelum penandatanganan, bersama laporan SOC 2 Type II di bawah NDA. Libatkan penasihat hukum sedini yang Anda mau — dokumennya sudah siap untuk mereka.

Halaman terkait

Dapatkan security pack.

DPA GDPR: Cakupan, Sub-Processor, Penandatanganan | Ciao