附问答全文 | 欧盟委员会解答标准合同条款(SCCs)相关问题
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
2021年6月4日,欧盟委员会通过了新的两组标准合同条款(Standards Contractual Clauses,以下简称为“SCCs”):
适用于数据控制者与数据处理者之间数据委托处理活动的SCCs(以下简称为“委托处理SCCs”),是首个欧盟层面的数据处理协议模板;
适用于向第三国传输个人数据情形的SCCs(以下简称为“跨境传输SCCs”)。
当地时间2022年5月25日,欧盟委员会发布指南,就前述两组SCCs相关的44个具体问题进行解答,旨在就如何使用SCCs提供实际指导,以帮助利益相关者进行合规工作。
欧盟委员会解答的44个具体问题,涵盖SCCs的基本制度与适用、SCCs的签署与修改、SCCs与其他合同的关系、委托处理SCCs中次级处理者的使用、新版跨境传输SCCs的更新内容与适用场景、个人数据主体享有的跨境传输SCCs相关权利、SCCs下跨境数据传输方与接收方的义务、SCCs下公共当局对跨境传输数据的访问等内容。[详见“问答列表”]
值得注意的是,欧盟委员会在问答中指出,当位于欧洲经济区的处理者适用模块4(Module 4)[注1]将其从位于非欧洲经济区的控制者处接收到的数据回传至该控制者时,由于此时该等个人数据最初系在欧洲经济区之外被处理,且该处理活动已受当地法律约束,因此,在此种场景下,无需进行跨境传输SCCs第十四条规定的传输影响评估,也无需履行第十五条下规定的公共当局访问数据时,数据接收方的义务。
此外,欧盟委员会在问答中透露,向根据GDPR第3条规定直接适用GDPR的数据控制者或处理者跨境传输数据,不适用现有的跨境传输SCCs,欧盟委员会目前正在就此类场景设计专门的SCCs。
获取问答全文,请点击文末“阅读原文”。
★
问答列表
★
一、SCCs
概述
1. 什么是SCCs?
2. 欧盟委员会采用了哪些SCCs?
3. 使用SCCs有哪些优点?
4. 欧盟委员会在制定SCCs时遵循了什么流程?
5. 欧盟委员会会在一段时间后评估新的SCCs在实践中的工作情况吗?
签署、修改以及与其他合同条款的关系
6. 双方签署SCCs是否有具体要求?
7. SCCs的文本是否可以更改?
8. 是否有可能在SCCs中添加其他条款,或将SCCs纳入更广泛的商业合同?
9. 各方是否可以删除不适用于其情况的模块和/或选项?
10. SCCs应如何纳入商业合同?
合同主体的变更
11. 所谓“对接条款”(docking clause)的目的是什么?
12. 对接条款在实践中是如何起作用的?是否有允许新缔约方加入的正式要求?
13. 当一个新缔约方加入SCCs时会发生什么?有哪些手续需要关注?
二、委托处理SCCs
14. 各国数据保护机构采用的SCCs与欧盟委员会采用的SCCs有什么区别?
15. 控制者应以何种形式向处理者发出指令?
16. 处理者是否需要向控制者提供其雇佣的次级处理者的名称?
17. 如果控制者反对变更次级处理者,在对次级处理者的雇佣给予一般授权的情况下,会发生什么?
18. 处理者向控制者通知数据泄露事件的规定时间是多长?
19. 除审查或审计外,处理方是否可以通过其他方式证明其符合SCCs下的要求?
三、 跨境传输SCCs
更新的原因和主要创新之处
20. 欧盟委员会为什么要对原跨境传输SCCs进行更新?
21. 与原SCCs相比,新SCCs主要的更新点是什么?
22. 仍然使用旧SCCs(1995年数据保护指令版)的数据传输方和接收方是否需要替换为新的SCCs(2021年版)?
应用范围和传输场景
23. SCCs可以用于哪些传输场景?
24. 这些SCCs是否可用于向“处理活动直接受GDPR约束的控制者或处理者”传输数据?
25. SCCs能否用于将个人数据传输至国际组织?
26. SCCs只能用于GDPR下的数据跨境传输吗?
27. 什么是不同的模块,如何选择正确的模块?
28. 能否同时选择多个模块?
29. 在向欧洲经济区以外的处理者或次级处理者传输数据时,如何确保遵守GDPR第28条?
30. 在哪些情况下应使用模块4(数据从处理者传输至控制者)?
个人:根据SCCs跨境传输数据时,个人的权利
31. 我如何知道我的数据是基于SCCs在欧洲以外传输的?
32. 当我被告知相关数据已根据SCCs在欧洲经济区以外传输,我如何获得有关跨境传输活动、我作为数据主体的权利以及适用安全保障措施的更多信息?我可以获得SCCs的副本吗?
33. 如果对我的数据进行的处理违反了SCCs,我能否获得补偿(例如损害赔偿)?我可以在哪里投诉?
数据传输方和接收方的义务
34. 对于模块1、2、3:数据接收方在与第三方共享其收到的个人数据时是否必须采取特定步骤?
35. SCCs下的责任是否可受到主要服务协议/商业协议中一般责任条款的限制?
36. SCCs终止对双方之间的其他合同安排有何影响?
37. 选择适用于合同的法律是否有任何要求?
38. 对于模块1、2、3:应指定哪个数据保护机构为主管机构?
39. 附件是否有填写要求?相关信息应该披露得多详细?
当地法律和政府对数据的访问
40. 在使用新的SCCs时,是否需要采取任何具体步骤以遵守Schrems II的判断?是否仍有必要考虑EDPB的指导?
41. 数据接收方必须在多大程度上通知数据传输方其从公共当局(如刑事执法部门或国家安全部门)收到的数据披露请求?
42. 数据接收方是否必须将从公共当局收到的数据披露请求告知个人?如果数据接收方根据其所在地区法律被禁止提供此信息,该怎么办?
43. 合同是否要求数据接收方对其从公共当局收到的每项披露请求提出质疑?
44. 适用模块4时,是否需要遵守SCCs的第三节[注2]?
注
[注1] 新版跨境传输SCCs项下划分了四类个人数据跨境传输的场景,即数据控制者至数据控制者间的传输(“C-C”),数据控制者至数据处理者间的传输(“C-P”),数据处理者至数据处理者间的传输(“P-P”),以及数据处理者至数据控制者间的传输(“P-C”)。上述不同场景在最新版跨境传输SCCs中分别对应不同的模块:
模块1(MODULE ONE):C-C
模块2(MODULE TWO):C-P
模块3(MODULE THREE):P-P
模块4(MODULE FOUR):P-C
[注2] 新版跨境传输SCCs分为四节:
第一节:一般性条款,规定了标准合同条款的目的与范围、效力及解释等;
第二节:缔约方的义务,划分为四个模块细化规定了数据保护措施、次级数据处理者的使用、数据主体的权利、责任与监督等;
第三节:地方法律和公共当局访问时的义务,划分为四个模块细化规定了公共当局访问时数据接收方的义务等;
第四节:最后条款,规定了不遵守条款、终止、管辖等。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪