Szablony DPA dla dostawców AI dla email czego wymagać

DPA dostawców są zwykle w porządku jako punkty wyjścia i złe jako finalne umowy. Boilerplate pokrywa baseline RODO; AI dla email tworzy nowe klasy ryzyka, które boilerplate omija. Pięć klauzul, na których się skupić:

Klauzula podprzetwarzających

Wymagaj: pełna lista podprzetwarzających z funkcją i jurysdykcją, powiadomienie o zmianach 30 dni z wyprzedzeniem, prawo klienta do sprzeciwu. Odejdź jeśli: lista jest „utrzymywana przez dostawcę na żądanie” (brak listy na stronie).

Klauzula retencji

Wymagaj: jawne okresy retencji dla surowych danych, wywiedzionych artefaktów AI i logów audytu. Wymagaj: usunięcie inicjowane przez klienta z 30-dniowym SLA. Odejdź jeśli: „zachowywane tak długo, jak komercyjnie rozsądne”.

Wykluczenie danych treningowych

Wymagaj: kontraktowe oświadczenie, że dane klienta nigdy nie są używane do treningu żadnego modelu AI, włącznie z modelem dostawcy. Odejdź jeśli: „dane klienta mogą być używane w formie zagregowanej do poprawy usługi” (To tylne drzwi treningowe).

Prawa audytu

Wymagaj: prawo do żądania logu audytu danych klienta raz w roku, z rozsądnym wyprzedzeniem. Odejdź jeśli: audyt tylko przy „rozsądnym podejrzeniu naruszenia”.

Powiadomienie o naruszeniu

Wymagaj: powiadomienie w ciągu 24 godzin od potwierdzenia incydentu przez dostawcę. Odejdź jeśli: „tak szybko, jak to praktyczne”.