标准合同条款:启用未来跨境数据流

Workday副总裁兼首席隐私官芭芭拉•科斯格罗夫(Barbara Cosgrove)讨论了欧盟委员会(European Commission)最新发布的新标准合同条款(SCCs)的最终版本,该条款为将个人数据转移到欧洲以外的公司提供了明确的规定。

今天,欧盟委员会发布了用于向第三国转移个人数据的新标准合同条款(SCCs)的最终版本。在去年欧盟法院(CJEU)决定将个人数据转移到欧洲以外后,新的SCCs为公司提供了急需的清晰度Schrems二例.对我们的客户来说,最重要的是,新的数据中心允许公司在确定传输数据时所需的任何补充保护时,将公共当局以前没有要求数据作为一个相关因素。该方法与《一般数据保护条例》(GDPR)基于风险的合规方法和CJEU的Schrems II裁决的要求一致。

以下是对新的scc的简要解释,它们在Schrems II背景下的含义,以及关于跨境数据传输的一些前瞻性想法。

为什么要发行新的scc ?

在一个新闻稿伴随着新的scc,价值观和透明度副总裁Vera Jourová说:

“在欧洲,我们希望保持开放,允许数据流动,前提是保护措施随之流动。现代化的《标准合同条款》(Standard contract Clauses)将有助于实现这一目标:它为企业提供了一个有用的工具,以确保它们遵守数据保护法,无论是在欧盟内部的活动,还是在国际转移方面。在互联的数字世界中,传输数据只需一两下鼠标,这是一个必要的解决方案。”

scc最后一次更新是在2004年(控制器到控制器条款)和2010年(控制器到处理器条款)。此后,GDPR引入了必须包含在数据处理合同中的具体要求。新的数据中心将gdp所需的术语纳入数据传输机制。此外,新的scc更好地反映了当今企业经常同时扮演控制器和处理器角色的现代商业现实。新的scc在方法上是模块化的,简化了订约过程,还涵盖了两种额外的传输类型:处理器到控制器和处理器到处理器的传输。

新的scc与Schrems II有什么关系?

根据Schrems II裁决,将欧盟个人数据转移到第三国(如美国)的公司必须进行个案评估,以确定任何必要的补充措施来保护被转移的个人数据。评估必须考虑数据转移国家的政府监控做法和个人权利。新的《资料标准说明》反映了这一要求,并载有具体的保障措施,包括要求在适当情况下质疑和质疑政府的查阅资料要求,以及随时通知资料输出机构。我们理解,我们的客户和监管机构要求我们保证这是事实。根据我们客户服务和诚信的核心价值观,Workday为客户发布政府准入原则和官方透明度报告。

scc与新批准的欧洲云行为准则有何关系?

今年5月,比利时数据保护局宣布批准了《欧盟云服务提供商数据保护行为准则》(“EU Cloud CoC”),这是GDPR生效以来的第一个跨国欧盟行为准则。欧盟云计算准则作为GDPR下的合规机制补充了scc,但它不作为数据传输机制。2019年8月,Workday成为第一次组织以表明对欧盟云CoC的坚持。

接下来是什么?

我们正在彻底审查新的scc,并将在规定的时间框架内向我们的客户提供这些合同承诺,现有协议为18个月。我们还预计,本月晚些时候,欧洲数据保护委员会(European Data Protection Board)将很快发布关于数据传输补充措施的最终建议,并希望他们也会考虑公司是否收到了政府当局提供个人数据的正式要求。基于历史和肯定的政府声明政府部门对企业人力资源、财务和分析数据华体会体育彩票全站的兴趣不高。

此外,我们仍然乐观地认为,Privacy Shield的后续框架将在今年达成一致。与此同时,Workday更新了现有的Privacy Shield认证,继续履行我们在Privacy Shield原则下就个人数据处理向FTC和客户做出的承诺。

最重要的是,我们希望强调,Workday相信,美国和欧盟政府将继续携手合作,实现数据跨境传输,更新后的标准合同条款的发布以及两国政府正在进行的努力将支持这一目标。

更多的阅读