跳转到主要内容

文章分类

在《通用数据保护条例》颁布三周年之际,库利发起了一系列侧重于GDPR的网络研讨会。

GDPR允许使用标准合同条款(SCC)将数据从欧盟和欧洲经济区(EEA)传输到第三国,这是公司确保数据国际流动的有用机制。

2021 6月4日,欧盟委员会发布了两套新的SCC。下面,我们将详细介绍您需要了解的10件事。

#1: 两套SCC之间有什么区别?

一套SCC提供了执行GDPR第28条的模板合同,该条涉及控制者和处理者的义务,不包括国际数据传输。当数据未导出到欧洲经济区之外时,将使用第一组子句。

如果个人数据在欧洲经济区之外转移,则第二套SCC将适用。它们取代了“旧”SCC作为个人数据传输机制。

#2: 我们何时需要开始使用这些新的SCC?

旧的SCC已从2021 9月27日起废除。我们在此概述了这意味着什么。

2021 9月27日当天和之后签订的新合同必须包含SCCs的新版本。

在2021 9月27日之前根据SCCs的废除版本签订的合同将被视为提供额外15个月的适当保障(即,直到2022年12月27日),前提是“作为合同标的的的处理操作保持不变,并且对条款的依赖确保个人数据的转让受到[GDPR]第46(1)条含义内的适当保障。”在实践中,这意味着:

如果在2021 9月27日之后,双方对包含SCC废除版本的协议进行任何更改,影响将要进行的处理操作,双方将被要求更新协议,以用新版本替换SCC的废除版本。

如果未对包含已废除版本的SCCs的现有协议进行此类更改,则最迟需要在2022年12月27日之前更新这些协议,以包含新版本的SCC。

#3: SCCs涵盖哪些数据传输场景?

SCC采用模块化方法,以满足各种传输场景:

  • 控制器对控制器(C2C)
  • 控制器到处理器(C2P)
  • 处理器对处理器(P2P)
  • 处理器到控制器(P2C)

这是一项真正的创新,因为旧的SCC只考虑了两种场景(控制器对控制器和控制器对处理器)。

根据GDPR第3(2)条的规定,SCC也可由未在欧盟成立的控制者或处理者使用,因为该处理与向欧盟数据主体提供商品或服务或监控其在欧盟境内的行为有关。

 

#4: 与旧的转移SCC相比,主要的变化是什么?

这些是新SCC中引入的主要变化:

这些条款最终与GDPR概念保持一致,如透明度、数据主体权利、数据泄露等。

这些条款包括用于进行数据传输影响评估的Schrems II“工具箱”

有两种新的数据场景——处理器对处理器(P2P)和处理器对控制器(P2C)。

它们有一个对接条款(第7条),允许多方签署SCC,并且关于向前转让的规定更为明确,尽管向前转让的概念比GDPR更为广泛,因为它包括在同一国家的转让。

#5: 采用DTA SCC是否会使您遵守GDPR第28条?

欧盟委员会已在SCC中明确声明,它们符合第28条对控制器-处理器合同的要求。然而,SCC可能不够充分,因为并非所有第28条义务都在SCC中明确提及或完全符合欧洲数据保护委员会(EDPB)的立场。

#6: 当使用新的SCC时,我们可以使用Schrems II吗?

在欧洲法院对Schrems II案作出裁决后,新的SCCs规定双方需要完成数据传输影响评估双方必须记录评估结果,并说明已采取任何相关的合同和技术补充措施(必要时)。重要的是要注意,在进行评估时,各方可以考虑行业惯例和数据导入者过去在公共当局请求方面的经验。

#7: 对于这些新的转移SCC,我们可以从EDPB中期待什么?

EDBP可能会使用其他指南来解释SCC。

#8: 我们怎样才能做好最好的准备?

公司应开始绘制数据流图,以标记任何新的数据传输,并根据旧的SCC审查现有协议。重要的是制定项目计划,让所有关键利益相关者参与确定任务和时间表(例如,让您的法律和隐私团队参与更新新合同模板)。目前需要考虑的主要工作流之一是执行数据传输影响评估,该评估需要按照SCCs的要求进行记录。

#9: SCC会得到英国的认可吗?

英国信息专员办公室(ICO)于2021 10月7日就旨在取代欧盟SCC的新的国际数据传输协议和指南发起了一次磋商。磋商包括国际转移风险评估和工具,以及欧盟SCCs的英国附录。ICO尚未认可SCC,因此,目前,希望将数据从英国传输到第三国的公司需要继续使用旧的SCC。

#10: 如果我们不遵守呢?

违反GDPR第44-49条将个人数据传输给第三国的接收者可能会被处以最高2000万欧元(2300万美元)的行政罚款,如果是企业,则最高可被处以上一财年全球年营业额总额的4%,以较高者为准

本文:https://cioctocdo.com/new-standard-contractual-clauses-10-things-you-ne…

文章链接