标准合同条款:实现未来跨境数据流动

Workday副总裁兼首席隐私官芭芭拉•科斯格罗夫(Barbara Cosgrove)讨论了欧盟委员会最新发布的新标准合同条款(SCCs)最终版本,该条款为将个人数据转移到欧洲以外的公司提供了明确的规定。

今天,欧盟委员会发布了向第三国转移个人数据的新标准合同条款(SCCs)的最终版本。新的scc为那些将个人数据转移到欧洲以外的公司提供了迫切需要的澄清,去年欧盟法院(CJEU)的裁决方案II案例.对我们的客户来说,最重要的是,新的scc允许公司在确定传输数据时需要的任何补充保护时,将公共当局以前没有要求数据的情况作为一个相关因素来考虑。这种方法与通用数据保护条例(GDPR)基于风险的合规方法和CJEU的Schrems II裁决的要求一致。

以下是对新的scc的简要解释,它们在Schrems II环境中的意义,以及对跨境数据传输的一些展望。

为什么要发行新的scc ?

在一个新闻稿陪同新SCCs的价值观和透明度副总裁维拉Jourová说:

“在欧洲,我们希望保持开放,允许数据流动,前提是保护也随之流动。现代化的标准合同条款将有助于实现这一目标:它们为企业提供了一个有用的工具,以确保它们遵守数据保护法,无论是在欧盟内部的活动还是在国际转移方面。在相互关联的数字世界中,传输数据只需点击一两下鼠标,这是一种必要的解决方案。”

scc最后一次更新是在2004年(控制器到控制器子句)和2010年(控制器到处理器子句)。从那时起,GDPR引入了数据处理合同必须包含的具体要求。新的SCCs将gdpri要求的条款纳入数据传输机制。此外,新的scc更好地反映了当今的现代业务现实,即公司经常同时扮演控制器和处理器的角色。新的scc是模块化的,简化了契约过程,还涵盖了两种额外的传输类型:处理器到控制器的传输和处理器到处理器的传输。

新的SCCs如何与Schrems II相关联?

根据Schrems II的裁决,将欧盟个人数据转移到第三国(如美国)的公司必须进行个案评估,以确定任何必要的补充措施,以保护被转移的个人数据。评估必须考虑到数据转移所在国的政府监视做法和个人权利。新的scc反映了这一要求,并包含了具体的保障措施,包括要求在适当情况下对政府的数据访问请求提出质疑和质疑,以及向数据出口商提供信息。我们明白,我们的客户和监管机构要求我们保证这是事实。本着我们客户服务和诚信的核心价值观,Workday为客户发布了我们的政府访问原则和一份官方透明度报告。

scc与新批准的欧洲云计算行为准则有何关联?

今年5月,比利时数据保护局宣布批准了欧盟云服务提供商数据保护行为准则(“EU Cloud CoC”),这是自GDPR生效以来的首个跨国欧盟行为准则。欧盟云CoC作为GDPR下的合规机制补充了scc,但它不作为数据传输机制。2019年8月,Workday成为第一次组织以证明对欧盟云准则的遵守。

接下来是什么?

我们正在彻底审查新的scc,并将在规定的期限内向客户提供这些合同承诺,现有协议的期限为18个月。我们还预计,本月晚些时候,欧洲数据保护委员会(European Data Protection Board)将很快发布关于数据传输补充措施的最终建议。我们仍然希望,他们也会考虑一家公司是否收到了政府当局关于个人数据的任何正式请求。根据历史和积极的政府声明政府当局对企业人力资源、财务和分析数据华体会体育彩票全站不感兴趣。

此外,我们仍然乐观地认为,Privacy Shield的后续框架将在今年达成一致。与此同时,Workday更新了我们现有的Privacy Shield认证,以继续履行我们在Privacy Shield原则下对联邦贸易委员会和客户做出的关于处理个人数据的承诺。

最重要的是,我们想强调,Workday相信美国和欧盟政府将继续合作,允许数据跨境传输,更新后的标准合同条款的发布,以及两国政府正在进行的努力,将支持这一目标。

更多的阅读