把 GDPR 做扎实,放心进入欧盟市场

欧盟客户签约前会要 DPA 和合规证据。这两样背后的整套项目,我们替你建。

GDPR 的要求多而细:处理记录、跨境文件、同意机制、权利响应,还有多数非欧盟公司必须设的欧盟代表。Kaamel 把这些一项项办妥,法律要求设 DPO 或欧盟代表的地方,直接由我们担任。

AICPA SOCDrataVanta

自动化基于 Vanta 与 Drata · 近 100 家出海企业选择 Kaamel

4%
全球营收,GDPR 罚款的上限
72 小时
向监管通报泄露的时限,流程必须跑得进来
第 27 & 37 条
欧盟代表与 DPO,两个角色都可由 Kaamel 担任

GDPR 是什么?

GDPR 是欧盟的数据保护法,不看你的公司注册在哪:只要服务欧盟境内的人,它就适用于你。它没有证书可考。合规意味着运行一套有据可查的项目:你有什么数据、凭什么持有、流向哪里、当事人怎么行使权利,并且随时能把这套项目拿给客户或监管看。

跟着用户走,不看你的总部

向欧盟境内的人销售,甚至只是监测,你就在适用范围内。几乎每家进入欧洲市场的公司都是这个处境。

每次使用都要有法律理由

每个处理目的都要有合法性基础;同意(包括 Cookie 和 SDK)必须自愿、具体、有记录。

数据出欧盟要办手续

跨境靠标准合同条款(SCC)加传输影响评估;你用的每个处理方都要签 DPA。

两个可能必须设的角色

某些情形要设数据保护官(第 37 条),多数非欧盟公司要设欧盟代表(第 27 条)。两个都可以由 Kaamel 担任。

关键义务,以及我们怎么覆盖

义务在哪里卡住你Kaamel 交付什么
处理活动记录(第 30 条)客户法务审查第一个要的文件梳理数据,并持续维护这份记录
跨境传输(第五章)欧盟数据到达你境外的服务器或供应商SCC 加传输影响评估,办到位
数据主体权利(第三章)有法定时限的访问、删除请求赶得上时限的流程与手册
欧盟代表与 DPO(第 27/37 条)多数非欧盟公司必须设的角色两个角色都由 Kaamel 替你担任

为什么要做 GDPR

GDPR 既是进入欧盟市场的准入要求,也是一笔必须管住的风险:罚款上限是全球营收的 4%。

欧盟订单等着它

欧洲买家签约前要 DPA 和合规证据。材料不齐,订单就停在采购环节。

投诉门槛很低

任何用户都能向监管投诉。Cookie 横幅、跨境传输、没人处理的删除请求,是最常见的三个起因。

细节在最糟的时刻暴露

欧盟代表、跨境文件、同意记录,这些疏漏往往在客户法务审查时才被发现,那时再补就被动了。

服务怎么进行

GDPR 没有证书,你需要的是一套经得起检查的项目。我们分四步把它建起来。

  1. 01

    把数据摸清

    梳理你处理什么个人数据、为什么、流向哪里,落成第 30 条的处理记录和合法性基础。

  2. 02

    把流转办妥

    出欧盟的数据配 SCC 和传输评估,处理方签 DPA,Cookie 和 SDK 的同意机制做对。

  3. 03

    让权利落地

    访问、删除、反对,每种请求都有法定时限。我们搭的流程赶得上这些时限。

  4. 04

    补上必设角色

    法律要求设 DPO 或欧盟代表的地方,Kaamel 直接补位,不用你招人。

想知道按你的情况,需要多久、花多少?

为什么选择 Kaamel

GDPR 做个样子容易,做到经得起查很难。我们按"真的会有人来查"的标准来建。

是项目,不是一份 PDF

数据地图、DPA、跨境档案、权利流程,这些是在客户法务审查里站得住的资产。

必设角色,一站补齐

外包 DPO 加欧盟代表,两项法定要求一站解决,无需新增人员。

双团队全程辅导,没有时差

硅谷、亚洲两地团队衔接,客户法务的问询和监管的往来由我们消化,不受时差和语言拖累。

隐私工作算两遍

同一套项目直通 ISO 27701。想更进一步,它就是认证级的隐私证据。

客户案例

4 个月进入欧盟沙盒

我们统筹安全、法务与工程,4 个月帮客户获得欧洲 GDPR 沙盒项目资格。

某头部自动驾驶公司

GDPR 全面合规,3 个新合同

我们交付 GDPR 全面合规并加固了安全态势,帮客户赢下三个重要新合同。

某全球领先的支付公司

6 个月三个框架

一套托管项目同时交付 GDPR、SOC 2、HIPAA,比分开做便宜 25%。

某快速成长的 AI 大模型初创公司

服务包含

  • 数据梳理与第 30 条处理记录
  • 合法性基础与同意机制设计
  • 供应商数据处理协议(DPA)
  • 标准合同条款与传输影响评估
  • 高风险处理的 DPIA
  • 赶得上时限的权利请求流程
  • 外包 DPO(法律要求时)
  • 第 27 条欧盟代表

GDPR 常见问题

GDPR 有证书吗?

没有,不存在官方证书。客户和监管要看的是一套有文档、切实运转的项目:记录、合法性基础、跨境档案、权利流程。想在这之上再要认证级证据,ISO 27701 覆盖同一片领域,我们可以并行推进。

注册在欧盟以外的公司也要遵守 GDPR 吗?

要。服务或监测欧盟境内的人,不管注册在哪都在适用范围内。多数非欧盟公司还要按第 27 条设欧盟代表,这个角色由 Kaamel 担任。

数据出欧盟怎么办?

标准做法是标准合同条款(SCC)加传输影响评估。我们按你真实的数据流配好机制,文档做到经得起审查。

我们需要 DPO 吗?

只在特定情形下需要,比如大规模监测或处理敏感数据。需要时,Kaamel 担任你的外包 DPO,满足第 37 条,不用招人。

我们正在出海,欧盟这些特有要求你们能搞定吗?

能,这是我们天天在做的事。跨境、欧盟代表、Cookie 和 SDK 同意,这些让新进入市场的公司措手不及的要求,恰好是我们的日常。

正在拓展欧盟市场?

预约一次免费评估,我们帮你理清哪些适用于你、缺什么、多快能补上。