欧盟委员会发布标准合同条款草案

2020年12月7日 隐私权,网络安全&技术法观点 博客
作者: 亚伦·坦特尔夫 珍妮佛 史蒂文·米伦多夫 塞缪尔·D·戈德斯蒂克 亚伦·T·玛格瑞吉

2020年11月12日,欧盟委员会(“EC”) published a 执行决定草案 根据标准合同条款(“SCCs”),以根据欧盟通用数据保护条例EU 2016/679将个人数据传输到第三国(“GDPR”), along with the draft set of new 鳞状细胞癌 (总的来说,“Cross-Border 鳞状细胞癌 ”).

更大的灵活性

与现有的SCC集不同,后者仅适用于源自欧洲经济区的两种类型的转移(“EEA”)(控制器到控制器和控制器到处理器),建议的跨境SCC采用模块化概念,以适应各种传输场景和现代处理链的复杂性:

  1. 控制器到控制器的转移;

  2. 控制器到处理器的传输;

  3. 处理器到处理器的传输;和

  4. 处理器到控制器的传输 (particularly where the 欧洲经济区 processor combines personal data received fr om the third country controller with personal data collected in the 欧洲经济区).

虽然现有的SCC解决了上述情况中的前两种情况,但组织已经在相当长的一段时间内与后两种情况作了斗争(至少自GDPR生效以来),解决这些问题的SCC可能是这些组织欢迎的补充。此外,EC指出,超过两(2)个缔约方可以使用一套SCC,从而大大减少了组织在加入新的供应商或服务提供商时(或当他们必须替换新的供应商或服务提供商时)需要签订的协议的数量。现有的SCC和这些新的跨境SCC)。

新要求

The Cross-Border 鳞状细胞癌 also contain several new obligations, some of which include:

  1. 根据要求向数据主体提供跨境SCC的副本,并告知他们(i)目的和(ii)将向其披露个人数据的任何第三方的身份的任何更改。

  2. 关于数据导入者向其他第三国的接收者的任何继续转移,请确保(i)接收者加入了跨境SCC; (ii)通过其他方式提供对传输的个人数据的保护;和/或(iii)数据主体明确同意此类转让。

  3. 更详细地描述了当事方之间以及对数据主体的责任以及转移当事方之间的赔偿义务。

第二十八条

除了跨境SCC之外,EC还发布了位于EEA内的控制器与处理器之间的SCC草案草案,其中包含条款,控制器可以强加于其处理器上以满足该控制器的要求。’根据GDPR第28条,控制人有义务​​实施的合同规定。 这些第28条的条款不是强制性的,企业可以继续使用量身定制的数据处理协议来满足第28条的要求。 

编址 施雷姆斯二世

The Cross-Border 鳞状细胞癌 address the challenges following the 施雷姆斯二世 欧洲法院2020年7月的裁决。这些新的SCC包括明确说明如果适用于数据导入者的法律干扰其遵守条款的能力,数据导入者应如何应对的语言,尤其是在政府当局发布具有约束力的访问个人数据的请求时。欧共体’该决定草案还涉及应对进口国影响的其他要求’双方的法律’合同承诺,并指出只有在数据起源于EEA时才需要这些承诺,而当控制者是进口商并且仅获取最初发送给处理器进行处理的数据时则不需要。该声明似乎是在暗中暗示​​GDPR的要求仅适用于EEA中的个人,不适用于与受GDPR约束的公司进行互动的其他国家/地区中的个人。此外,该决定还建议这些跨境SCC在直接受GDPR约束的实体与不受GDPR约束的实体之间传输个人数据时适用。

既是欧共体’的决定和拟议的跨境SCC描述了当事方必须解决外国法律对SCC提供的保护水平的影响的三种方式:

  1. 有占位符 EDP​​B关于补充措施的建议 (The “EDPB Recommendations”).

  2. EDP​​B建议书中描述的一些补充措施 直接纳入决定草案。具体来说,该决定描述了以下要求:通知政府要求的数据出口商和数据主体法律约束力的个人数据请求,并在可能的情况下定期共享有关此类请求的汇总信息,记录此类请求,并在有挑战时提出此类要求可能。

  3. 该决定与EDPB建议略有不同,建议当事方考虑“任何相关的实践经验,表明数据导入者针对传输的数据类型收到的公共机构是否有公开要求的先前实例。”相反,EDPB建议谨慎 反对 依靠“主观因素,例如公共当局的可能性’以不符合欧盟标准的方式访问您的数据,”尽管这似乎与EDPB建议书的其他领域更为一致,但建议各当事方应考虑数据的性质,并采用GDPR中固有的基于风险的方法。

结论

跨境SCC公开征询公众意见,直至2020年12月10日。一旦获得批准,这些条款将取代组织以前使用的SCC,作为根据GDPR进行国际个人数据传输的适当保障。最终的SCC预计将于2021年初采用。组织将在跨境SCC生效之日起十二(12)个月内,以取代目前通过Cross进行国际个人数据传输所依赖的任何现有SCC。 -边界SCC。 

但是,组织应该开始理解由于新的SCC(尤其是那些直接解决处理器-处理器或处理器-控制器方案的SCC)而可能需要重新考虑的现有SCC的范围,并且应该为潜在的SCC做准备。尝试纳入EDPB建议书中描述的其他措施的细节时,引起了激烈的讨论。 

For questions or additional information on this topic, please contact any of the authors or your 佛利 relationship partner. 
该博客由Foley提供& Lardner LLP (“Foley” or “the Firm”) for informational purposes only. It is not meant to convey 该公司’s legal position on behalf of any client, nor is it intended to convey specific legal advice. Any opinions expressed in this article do not necessarily reflect the views of 佛利 & Lardner LLP, its partners, or its clients. Accordingly, do not act upon this information without seeking counsel fr om a licensed attorney. This blog is not intended to create, and receipt of it does not constitute, an attorney-client relationship. Communicating with 佛利 through this 网站 by email, blog post, or otherwise, does not create an attorney-client relationship for any legal matter. Therefore, any communication or material you transmit to 佛利 through this blog, whether by email, blog post or any other manner, will not be treated as confidential or proprietary. The information on this blog is published “AS IS” and is not guaranteed to be complete, accurate, and or up-to-date. 佛利 makes no representations or warranties of any kind, express or implied, as to the operation or content of the site. 佛利 expressly disclaims all other guarantees, warranties, conditions and representations of any kind, either express or implied, whether arising under any statute, law, commercial use or otherwise, including implied warranties of merchantability, fitness for a particular purpose, title and non-infringement. In no event shall 佛利 or any of its partners, officers, employees, agents or affiliates be liable, directly or indirectly, under any theory of law (contract, tort, negligence or otherwise), to you or anyone else, for any claims, losses or damages, direct, indirect special, incidental, punitive or consequential, resulting fr om or occasioned by the creation, use of or reliance on this site (including information and other content) or any third party 网站s or the information, resources or material accessed through any such 网站s. In some jurisdictions, the contents of this blog may be considered Attorney Advertising. If applicable, please note that prior results do not guarantee a similar outcome. Photographs are for dramatization purposes only and may include models. Likenesses do not necessarily imply current client, partnership or employee status.

相关服务

见解

FedRAMP帮助安全的云部署!
2021年1月16日
互联网,IT& e-Discovery 博客
OCR HIPAA审计发现的关键发现和要点
2021年1月15日
今日卫生保健法
一项新议程:预计2021年美国环境政策将发生重大变化
2021年1月14日
2020选举资源中心
第14集:经济学101:了解反托拉斯和提供者交易的工具
2021年1月14日
今日卫生保健法
Telehealth21峰会虚拟会议
2021年3月23日至24日
虚拟会议
美国中风协会国际中风会议
2021年3月17-19日
虚拟会议
校园能源资产货币化
多个日期
网络研讨会系列
佛罗里达律师协会健康法科高级健康法主题与认证审查2021
2021年3月10日
网络研讨会