在 GDPR 中,当一个实体(数据控制者,即您的企业)将个人数据的处理外包给另一个实体(数据处理者,即 WhatsApp 或 WhatsApp Business API 提供商)时,双方必须签订一个 DPA。
WhatsApp 会在其商业条款中提供相关的数据处理条款。您需要确保您同意这些条款,并且它们符合 GDPR 要求。
如果您通过第三方 BSP (Business Solution Provider) 使用 WhatsApp Business API,您也需要与该 BSP 签订 DPA,明确双方的责任。
数据安全与违规通知:
您必须采取适当的技术和组织措施来保护客户数据,防止未经授权的访问、丢失、破坏或损坏。这包括使用加密、访问控制、定期安全审计等。
如果发生数据泄露,您有义务在72小时内通知相关的监管机构,并在高风险的情况下通知受影响的个人。
问责制和记录保存:
您必须能够证明您遵守了 GDPR。这包括:
维护数据处理活动的记录 (Records of Processing Activities, RoPA)。
进行数据保护影响评估 (DPIA),特别是对于涉及 白俄罗斯 VB 数据库 高风险数据处理的活动。
保留客户同意的记录。
WhatsApp Business App(适用于中小型企业): 消息内容是端到端加密的,Meta 无法读取。但商家在使用 App 时,仍需负责妥善管理客户联系信息、遵守同意规则、响应客户权利请求等。数据存储主要在设备本地或云备份中,商家需确保这些备份的安全和加密。
WhatsApp Business API(适用于大型企业和解决方案提供商): 这种情况下,消息在 API 端点会被解密。这意味着商家将直接处理明文消息内容,需要承担更重的责任。商家必须确保其内部系统(CRM、客服系统等)符合 GDPR,并且所有与 WhatsApp API 集成的第三方系统也符合要求。这是合规性最复杂的部分。
结论:
WhatsApp Business 可以实现 GDPR 合规,但这并非自动完成。企业必须主动采取措施,并承担起作为数据控制者的责任。关键在于: