标准合同条款:实现未来跨境数据流

Workday副总裁兼首席隐私官芭芭拉•科斯格罗夫(Barbara Cosgrove)讨论了欧盟委员会(European Commission)最新发布的新标准合同条款(Standard Contractual Clauses, SCCs)的最终版本,该条款为将个人数据转移到欧洲以外的公司提供了明确的规定。

今天,欧盟委员会发布了个人数据向第三国转移的新标准合同条款(SCCs)的最终版本。在去年欧盟法院(CJEU)对欧洲隐私法做出裁决后,新的SCCs为将个人数据转移到欧洲以外的公司提供了急需的清晰度施雷姆斯II情况.对于我们的客户来说,最重要的是,新的SCCs允许公司在确定传输数据时需要的任何补充保护时,将先前未向公共当局请求数据作为相关因素。这种方法既符合通用数据保护条例(GDPR)基于风险的合规方法,也符合CJEU Schrems II裁决的要求。

以下是对新的scc的简要解释,它们在Schrems II的背景下意味着什么,以及关于跨境数据传输的一些前瞻性想法。

为什么要发行新的SCCs ?

在一个新闻稿负责价值观和透明度事务的副主席Vera jourov在出席新的标准执行委员会时表示:

“在欧洲,我们希望保持开放,允许数据流动,前提是保护也随之流动。现代化的标准合同条款将有助于实现这一目标:它们为企业提供了一个有用的工具,以确保它们在欧盟境内的活动和国际转移中遵守数据保护法。在互联的数字世界中,这是一个必要的解决方案,在这个世界中,传输数据只需点击一两下即可。”

SCCs最后一次更新是在2004年(控制器到控制器条款)和2010年(控制器到处理器条款)。从那时起,GDPR引入了必须包含在数据处理合同中的具体要求。新的SCCs将gdp要求的条款纳入数据传输机制。此外,新的scc更好地反映了当今的现代商业现实,公司通常同时扮演控制器和处理器的角色。新的scc采用模块化方法,简化了合同流程,还涵盖了两种额外的传输类型:处理器到控制器和处理器到处理器的传输。

新的SCCs与scheme II有何关系?

根据施雷姆斯二案的裁决,将欧盟个人数据转移到第三国(如美国)的公司必须进行个案评估,以确定任何必要的补充措施来保护被转移的个人数据。评估必须考虑到数据传输所在国的政府监控做法和个人权利。新的SCCs反映了这一要求,还包含了具体的保障措施,包括要求在适当的情况下质疑和挑战政府的数据访问请求,并通知数据出口商。我们理解,我们的客户和监管机构需要确保情况属实。根据我们的客户服务和诚信的核心价值观,Workday为我们的客户发布了我们的政府访问原则和官方透明度报告。

SCCs与新批准的欧洲云行为准则有何关系?

今年5月,比利时数据保护局宣布批准了《欧盟云服务提供商数据保护行为准则》(“EU Cloud CoC”),这是自GDPR生效以来的首个跨国欧盟行为准则。欧盟云计算准则作为GDPR下的合规机制补充了scc,但它不作为数据传输机制。2019年8月,Workday成为第一个遵守欧盟云准则的组织。

接下来是什么?

我们正在全面审查新的scc,并将在规定的时间框架内向客户提供这些合同承诺,现有协议为18个月。我们还预计,本月晚些时候,欧洲数据保护委员会(European Data Protection Board)将很快就数据传输的补充措施发布最终建议,并希望他们也会考虑到公司是否收到了政府当局对个人数据的正式要求。基于历史和肯定性政府声明政府部门对企业人力资源、财务和分析数据华体会体育彩票全站不感兴趣。

此外,我们仍然乐观地认为,今年将达成隐私保护协议的后续框架。与此同时,Workday更新了现有的隐私盾认证,因为我们将继续履行我们对联邦贸易委员会和客户所做的关于在隐私盾原则下处理个人数据的承诺。

最重要的是,我们要强调,Workday有信心美国和欧盟政府将继续合作,允许数据跨境传输,更新的标准合同条款的发布,以及两国政府正在进行的努力,都支持了这一目标。

更多的阅读