2020年11月12日,欧盟委员会发布了更新后的标准合同条款(SCC)草案,以进行磋商(可用 这里 )。

当前的SCC已在GDPR生效之前由委员会采用。欧盟法院在 施雷姆斯二世 该案例更加紧迫地更新了当前的SCC。一旦获得批准,新的SCC将废除当前的SCC。因此,数据控制器和处理器都需要重新拟定其协议。

SCC草案引入的主要变化总结如下。

域外范围:SCC草案提供了更大的灵活性。现在,受GDPR约束但未在EEA中建立的数据出口商可以依赖并使用SCC草案作为有效的转移机制。

灵活性 :SCC草案为其他各方提供了一种机制,以其作为数据导出者或数据导入者加入已签署的协议。这对于集团公司而言可能是有用的,因为一旦新公司加入集团,就可以签署加入契约。这很可能会减少组织为履行问责目的而需要加入并保留的文档数量。

模块化方法:委员会对SCC草案采用了模块化的方法,其中包括适用于所有转让的一般术语,以及“模块”,其中包括定制条款。 SCC草案的“模块”涵盖了来自以下方面的转移:

  • 控制器到控制器(C2C);
  • 控制器到处理器(C2P);
  • 处理器到处理器(P2P);和
  • 处理器到控制器(P2C)。

包含P2P和P2C子句可解决当前SCC中的空白。

纳入第28条GDPR义务:委员会已纳入旨在遵守第28条要求的义务,以规范C2P和P2C关系。拟议的规定似乎比GDPR第28条所要求的规定更具规范性。例如,审计权和合作义务通常在各方之间进行商业谈判。

施雷姆斯二世 回应:SCC草案包括直接针对 施雷姆斯二世 决定,包括进行(和记录)数据传输评估的责任。一直在等待有关如何实际响应该问题的官方指导的组织对此表示欢迎。 施雷姆斯二世 决定。一个缺点是,SCC草案对当事方施加了义务。‘warrant’他们没有理由认为进口国的法律不充分。委员会似乎已经超出了 施雷姆斯二世 在以下方面作出决定:

  1. 缔约方现在需要进行审查‘the laws’进口国的法律,而不仅仅是监视法律;
  2. 评估进口国法律时要考虑的因素超出了EDPB在其补充措施指南草案中建议的那些因素,并且隐含了对所有转让都将采取补充措施的隐含期望;和
  3. 缔约方必须使用‘best efforts’在进行此类评估时。

与EDPB有关国际转移补充措施的建议不同(请参阅有关此内容的更多信息) 这里 ),委员会似乎允许各方对第三国法律进行基于风险的评估。基于风险的方法肯定会受到许多组织的欢迎。

补救措施 :SCC草案包括普遍适用的条款,连带责任和赔偿责任条款。此类条款涵盖了当事方自由协商合同中的责任和风险分配条款的权利,并且不允许采用更具针对性的方法,具体取决于相关协议的具体情况和风险状况。

结论

咨询期开放至2020年12月10日。如果您有兴趣提交意见,可以通过访问 链接 。随时关注我们的博客以获取更多更新!