标准合同条款:实现未来跨境数据流

今天，欧盟委员会发布了向第三国转移个人数据的新标准合同条款(SCCs)的最终版本。继去年欧盟法院(CJEU)在欧洲法院的裁决之后，新的scc为将个人数据转移到欧洲以外的公司提供了急需的清晰度Schrems II案例．对我们的客户来说，最重要的是，新的scc允许公司在确定传输数据时所需的任何补充保护时，将以前没有向公共当局提出数据请求作为一个相关因素。这种方法既符合《通用数据保护条例》(GDPR)基于风险的合规方法，也符合CJEU Schrems II裁决的要求。

以下是对新的scc的简要解释，它们在Schrems II的背景下意味着什么，以及一些关于跨境数据传输的展望。

为什么发行新的scc ?

在一个新闻稿伴随着新的scc，价值观和透明度副总裁Vera Jourová说:

“在欧洲，我们希望保持开放，允许数据流动，前提是保护措施也随之流动。现代化的标准合同条款将有助于实现这一目标:它们为企业提供了一个有用的工具，以确保他们遵守数据保护法律，无论是在欧盟内部的活动还是国际转移。在互联的数字世界中，传输数据只需点击一两下鼠标，这是一个必要的解决方案。”

scc最后一次更新是在2004年(控制器到控制器子句)和2010年(控制器到处理器子句)。从那时起，GDPR引入了必须包含在数据处理合同中的具体要求。新的scc将gdpr要求的术语纳入数据传输机制。此外，新的scc更好地反映了当今的现代业务现实，即公司经常同时扮演控制器和处理器角色。新的scc在方法上是模块化的，简化了契约过程，还涵盖了两种额外的传输类型:处理器到控制器和处理器到处理器的传输。

新的scc如何与Schrems II相关联?

根据Schrems II裁决，将欧盟个人数据转移到美国等第三国的公司必须进行个案评估，以确定任何必要的补充措施来保护被转移的个人数据。评估必须考虑到数据转移国的政府监控做法和个人权利。新的scc反映了这一要求，并包含了具体的保障措施，包括要求在适当情况下质疑和质疑政府的数据访问请求，并通知数据出口商。我们理解，我们的客户和监管机构要求保证这是事实。根据我们客户服务和诚信的核心价值观，Workday为我们的客户发布了我们的政府访问原则和一份官方透明度报告。

scc如何与新批准的欧洲云行为准则相关联?

今年5月，比利时数据保护局宣布批准了《欧盟云服务提供商数据保护行为准则》(“欧盟云CoC”)，这是GDPR生效以来首个跨国欧盟行为准则。欧盟云CoC作为GDPR下的合规机制补充了scc，但它不作为数据传输机制。2019年8月，Workday成为第一个证明遵守欧盟云CoC的组织。

接下来是什么?

我们正在彻底审查新的scc，并将在规定的时间内向客户提供这些合同承诺，现有协议的时间为18个月。我们还预计，本月晚些时候，欧洲数据保护委员会(European Data Protection Board)将很快发布关于数据传输补充措施的最终建议，并仍然希望他们也会考虑公司是否收到了政府当局提供个人数据的正式请求。基于历史和积极的政府声明政府部门对企业人力资源、财务和分析数据华体会体育彩票全站不感兴趣。

此外，我们对隐私护盾的后续框架将在今年达成一致持乐观态度。与此同时，Workday更新了我们现有的隐私盾认证，因为我们继续履行我们对联邦贸易委员会和我们的客户做出的关于根据隐私盾原则处理个人数据的承诺。

最重要的是，我们想强调的是，Workday相信美国和欧盟政府将继续合作，允许数据跨境传输，更新后的标准合同条款的发布，以及两国政府正在进行的努力，支持这一目标。