今天,欧洲委员会发布了新的和已久的标准合同条款,可用 这里 (SCCS)。这些新的SCC包含GDPR的更新,并替换在以前的数据保护指令下采用的三组SCC。今天发布的SCC包括以下模块:

  • 控制器到控制器转移,
  • 控制器到处理器转移,
  • 处理器到处理器转移,以及
  • 处理器到控制器转移。

SCC草案于2020年12月(更多关于我们以前的博客)展开磋商 这里)。今天发布的最终草案将在出版后20天在欧洲联盟官方刊物期间出版,这应该在25之间的某个时间TH. 和 30TH. of June 2021.

什么是新的?

草案与此最终版本之间的一个特许权是组织已额外六个月,或者总共18个月替代这些新的SCC,以管理eEA到第三国的数据转移。这意味着,组织必须将其现有的模型子段协议切换到新的SCC。新发行的SCCS同样适用于私人和公共组织,该组织在EEA之外传输数据,并可由不仅在EEA内的控制器和处理器使用,而且还可以在EEA之外的那些控制器和处理器,该控制器和处理器位于截止地区的EEA之外。

这些新的SCCS保留了“模块化”方法,以适应各种传输方案和现代处理和数据流的复杂性。此外,只要与在欧洲基本权利宪章“宪章下的SCC或损害个人的基本权利不冲突,因此可以灵活地为SCC添加额外的条款或保障措施。新的SCCS是灵活的,因此两个或更多缔约方可以同意他们并进入他们,虽然许多组织确实实施了多方协议和使用,但曾经进入他们并将其加入或遵守它们并遵守它们,尽管许多组织确实实施了多方协议和使用,但仍然从先前版本的SCC进行了务实的变化坚持的契约。

这些新的SCC也由CJEU的Schrems II裁决颁发的颁发,并包括关于数据保护保障和补救权利的规定,导致SCCS确保任何个人数据转让给GDPR的基本等同于等效保护。个人将有权获悉数据传输类别,获得SCC副本的权利,并收到任何向后转移其个人数据的转让。

新的SCCS还包括双方制定和记录评估的义务,即数据进口商国家的当地法律和做法不影响遵守条款。关于措施补充数据传输工具的措施的最终版本(更多关于我们之前的博客) 这里)在艾普6月18日全体会议之后,预计本月会在本月晚些时候提供更多指导。

组织现在要做什么?

组织现在应该开始

  1. 概述他们的国际数据转移,
  2. 确定使用“旧”版本的欧盟模型条款的情况,
  3. 使当地法律风险评估并记录本评估(每次转移),
  4. 在未来18个月内:用新版本替换模型条款的“旧”版本,以及
  5. 使用新版本的模型子句,并为所有未来数据转移进行本地法律评估。

我们在Reed Smith一直在为新的SCC做准备,并创建了一个数据转移评估工具,包括自动化这些新SCC的起草的选择,并记录个人数据转让的第三国当地法律的评估。随时与我们联系以了解更多!