SCC2021控制器到控制器

第一节

条款1

目的和范围

1. 这些标准合同条款的目的是确保遵守欧洲议会和理事会 2016 年 679 月 27 日颁布的关于保护自然人个人数据处理和数据保护的法规 (EU) 2016/1 的要求。此类数据的自由流动（一般数据保护条例）(XNUMX) 将个人数据传输到第三国。
2. 那些政党，那些派对：

(i) 附件 IA 中列出的传输个人数据的自然人或法人、公共机构、代理机构或其他团体（以下简称“实体”）（以下简称“数据出口者”） ）， 和

直接或间接通过附件 IA 中所列的本条款缔约方的另一实体从数据导出方接收个人数据的第三国实体（以下简称“数据导入方”）

已同意这些标准合同条款（以下简称“条款”）。

3. 这些条款适用于附件 IB 中规定的个人数据传输
4. 这些条款的附录包含其中提及的附件，构成这些条款的组成部分。

条款2

条款的效力和不变性

1. 这些条款规定了适当的保障措施，包括根据法规 (EU) 46/1 第 46(2) 条和第 2016(679)(c) 条以及与控制者的数据传输有关的可执行数据主体权利和有效的法律补救措施对于处理者和/或处理者对于处理者，根据法规 (EU) 28/7 第 2016(679) 条规定的标准合同条款，前提是它们未经修改，除了选择适当的模块或添加或更新信息附录。 这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同中和/或添加其他条款或额外的保障措施，前提是它们不直接或间接与这些条款相抵触或损害基本权利或数据主体的自由。
2. 这些条款不影响数据出口商根据法规 (EU) 2016/679 所承担的义务。

条款2

条款的效力和不变性

1. 这些条款规定了适当的保障措施，包括根据法规 (EU) 46/1 第 46(2) 条和第 2016(679)(c) 条以及与控制者的数据传输有关的可执行数据主体权利和有效的法律补救措施对于处理者和/或处理者对于处理者，根据法规 (EU) 28/7 第 2016(679) 条规定的标准合同条款，前提是它们未经修改，除了选择适当的模块或添加或更新信息附录。 这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同中和/或添加其他条款或额外的保障措施，前提是它们不直接或间接与这些条款相抵触或损害基本权利或数据主体的自由。
2. 这些条款不影响数据出口商根据法规 (EU) 2016/679 所承担的义务。

条款3

第三方受益人

1. 数据主体可以作为第三方受益人，针对数据导出者和/或数据导入者援引和执行这些条款，但以下情况除外：

(i) 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条；

(ii) 第 8 条 – 模块一：第 8.5 (e) 条和第 8.9(b) 条； 模块二：第 8.1(b)、8.9(a)、(c)、(d) 和 (e) 条； 模块三：第 8.1(a)、(c) 和 (d) 条以及第 8.9(a)、(c)、(d)、(e)、(f) 和 (g) 条； 模块四：第 8.1 (b) 条和第 8.3(b) 条；

(iii) 第 9 条 – 模块二：第 9(a)、(c)、(d) 和 (e) 条； 模块三：第 9(a)、(c)、(d) 和 (e) 条；

(iv) 第 12 条 – 模块一：第 12(a) 和 (d) 条； 模块二和三：第 12(a)、(d) 和 (f) 条；

(v) 第 13 条；

(vi) 第 15.1(c)、(d) 和 (e) 条；

(vii) 第 16(e) 条；

(viii) 第 18 条 – 模块一、二和三：第 18(a) 和 (b) 条； 模块四：第 18 条。

2. (a) 段不损害数据主体在法规 (EU) 2016/679 下的权利。

条款4

诠释erp复述

1. 如果这些条款使用法规 (EU) 2016/679 中定义的术语，则这些术语应与该法规中的含义相同。
2. 应阅读并理解这些条款erp根据法规 (EU) 2016/679 的规定进行审查。
3. 这些条款不应被视为无效erp其方式与 (EU) 2016/679 法规中规定的权利和义务相冲突。

条款5

等级制度

如果本条款与双方在本条款达成或之后订立时存在的相关协议的规定发生冲突，以本条款为准。

条款6

转移说明

传输的详细信息，特别是传输的个人数据类别和传输目的，在附件 IB 中详细说明

第 7 条 – 可选

对接条款

1. 经双方同意，非本条款缔约方的实体可随时以数据输出者或数据输入者的身份通过填写附录并签署附件 IA 加入本条款
2. 一旦完成附录并签署附录 IA，加入实体应成为这些条款的缔约方，并根据其在附录 IA 中的指定，拥有数据输出者或数据输入者的权利和义务
3. 加入实体在成为缔约方之前的时期内不享有本条款项下的任何权利或义务。

第二部分——各方的义务

条款8

数据保护保障

数据输出方保证已尽合理努力确定数据输入方能够通过实施适当的技术和组织措施来履行其在这些条款下的义务。

8.1 目的限制

数据导入方应仅出于传输的特定目的处理个人数据，如附件 IB 中所述。它可能仅出于其他目的处理个人数据：

(i) 已获得数据主体的事先同意；
(ii) 在特定行政、监管或司法程序中为确立、行使或辩护法律主张所必需的； 或者
(iii) 在必要时为了保护数据主体或其他自然人的切身利益。

8.2 透明度

1. 为使数据主体能够有效行使第 10 条规定的权利，数据输入方应直接或通过数据输出方通知其：

(i) 其身份和联系方式；

(ii) 处理的个人数据的类别；

(iii) 获得这些条款副本的权利；

(iv) 如果打算将个人数据继续传输给接收者或接收者类别的任何第三方（酌情提供有意义的信息），则此类继续传输的目的以及依据第 8.7 条。

2. 如果数据主体已经拥有该信息，包括数据导出者已提供该信息，或者提供该信息被证明是不可能的或将涉及广告，则（a）款不适用。isp数据导入者付出相应的努力。 在后一种情况下，数据进口方应尽可能公开信息。
3. 根据要求，双方应免费向数据主体提供这些条款的副本，包括他们填写的附录。 在保护商业秘密或其他机密信息（包括个人数据）所必需的范围内，双方可在共享副本之前编辑附录的部分文本，但应提供有意义的摘要，否则数据主体将无法了解其内容或行使他/她的权利。 根据要求，双方应尽可能向数据主体提供修改的原因，但不透露修改的信息。
4. (a) 至 (c) 段不影响数据输出者在法规 (EU) 13/14 第 2016 条和第 679 条下的义务。

8.3 准确性和数据最小化

1. 各方应确保个人数据准确无误，并在必要时保持最新。 数据导入者应采取一切合理步骤，确保不及时删除或纠正与处理目的有关的不准确个人数据。
2. 如果一方意识到其传输或接收的个人数据不准确或已过时，应立即通知另一方。
3. 数据导入者应确保个人数据充分、相关且仅限于与处理目的相关的必要数据。

8.4 存储限制

数据导入者保留个人数据的时间不得超过处理该数据的目的所需的时间。 它应采取适当的技术或组织措施，以确保遵守这一义务，包括在保留期结束时删除或匿名化 (2) 数据和所有备份。

8.5 处理的安全性

1. 数据进口方以及数据出口方在传输过程中应采取适当的技术和组织措施，确保个人数据的安全，包括防止因安全漏洞而导致意外或非法破坏、丢失、更改、未经授权的披露或访问（以下简称“个人数据泄露”）。 在评估适当的安全级别时，他们应适当考虑现有技术、实施成本、处理的性质、范围、背景和目的以及数据主体处理中涉及的风险。 双方应特别考虑采用加密或假名化，包括在传输过程中，只要可以通过这种方式实现处理目的。
2. 缔约方已就附件二所列的技术和组织措施达成一致。 数据导入方应进行定期检查，以确保这些措施继续提供适当的安全级别。
3. 数据导入者应确保被授权处理个人数据的人员已承诺保密或承担适当的法定保密义务。
4. 如果数据导入方根据本条款处理的个人数据发生个人数据泄露事件，数据导入方应采取适当措施解决个人数据泄露问题，包括减轻其可能产生的不利影响的措施。
5. 如果发生可能对自然人的权利和自由造成风险的个人数据泄露，数据输入方应立即根据第 13 条通知数据输出方和主管监管机构。该通知应包含i) 对违规性质的描述（在可能的情况下，包括相关数据主体和个人数据记录的类别和大致数量），ii) 其可能的后果，iii) 为解决违规行为而采取或提议的措施，以及 iv ) 可以从中获得更多信息的联络点的详细信息。 如果数据导入者不可能同时提供所有信息，则可以分阶段提供，而不会造成不必要的进一步延迟。
6. 如果发生可能对自然人的权利和自由造成高风险的个人数据泄露，数据进口方还应在必要时将个人数据泄露及其性质立即通知有关数据主体。与数据导出方合作，并提供(e)段第ii)至iv)点中提到的信息，除非数据导入方已采取措施显着降低自然人权利或自由的风险，或者通知将涉及disp相应的努力。 在后一种情况下，数据进口方应发布公开信息或采取类似措施，向公众通报个人数据泄露事件。
7. 数据导入方应记录与个人数据泄露有关的所有相关事实，包括其影响和采取的任何补救措施，并保留记录。

8.6 敏感数据

如果传输涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的个人数据、基因数据或生物识别数据，用于唯一识别自然人的目的，有关健康或个人性生活的数据，或性取向或与刑事定罪或犯罪有关的数据（以下简称“敏感数据”），数据导入者应根据数据的具体性质和所涉及的风险应用特定的限制和/或额外的保障措施。 这可能包括限制允许访问个人数据的人员、额外的安全措施（例如化名）和/或有关进一步披露的额外限制。

8.7 继续传输

数据导入者不得将个人数据披露给位于欧盟 (3) 之外的第三方（与数据导入者位于同一国家或另一个第三国，以下简称“继续传输”），除非第三方是或同意受相应模块下这些条款的约束。 否则，数据导入方只能在以下情况下进行继续传输：

(i) 受益于根据涵盖继续转让的 (EU) 45/2016 条例第 679 条作出的充分性决定的国家；

(ii) 第三方根据 (EU) 46/47 条例第 2016 或 679 条以其他方式确保针对相关处理采取适当的保障措施；

(iii) 第三方与数据导入者签订具有约束力的文书，确保与这些条款规定的数据保护水平相同，并且数据导入者向数据导出者提供这些保障措施的副本；

(iv) 在特定的行政、监管或司法程序中为确立、行使或辩护法律主张所必需的；

(v) 为了保护数据主体或其他自然人的切身利益所必需的； 或者

(vi) 在其他条件不适用的情况下，数据导入者在告知数据主体其目的、接收者身份后，已获得数据主体在特定情况下继续传输的明确同意以及由于缺乏适当的数据保护措施而向他/她传输此类信息可能存在的风险。 在这种情况下，数据进口方应通知数据出口方，并应后者的要求，向其传输提供给数据主体的信息的副本。

任何向前传输都必须由数据导入方遵守这些条款下的所有其他保障措施，特别是目的限制。

8.8 在数据导入方授权下进行处理

数据导入者应确保在其授权下行事的任何人（包括处理者）仅根据其指示处理数据。

8.9 文件和合规性

1. 各方应能够证明其遵守这些条款规定的义务。 特别是，数据导入者应保留其责任范围内进行的处理活动的适当文件。
2. 数据进口方应根据要求向主管监管机构提供此类文件。

第9条【不适用】

条款10

数据主体权利

1. 数据进口方在数据出口方的协助下，应处理从数据主体收到的有关处理其个人数据以及行使其在这些条款下的权利的任何询问和请求，不得不当延迟，最迟在收到询问或请求后一个月内。 (10) 数据进口方应采取适当措施，为此类查询、请求和数据主体权利的行使提供便利。 向数据主体提供的任何信息均应采用清晰易懂的语言，并采用易于理解和易于访问的形式。
2. 特别是，应数据主体的要求，数据导入方应免费：

(i) 向数据主体提供有关他/她的个人数据是否正在被处理的确认，如果是这种情况，则提供与其相关的数据和附件一中信息的副本； 如果个人数据已经或将要继续转移，请提供有关个人数据已经或将要继续转移的接收者或接收者类别的信息（酌情提供有意义的信息）、此类继续转移的目的以及他们根据第 8.7 条的理由； 并提供有关根据第 12(c)(i) 条向监管机构提出投诉的权利的信息；

(ii) 纠正有关数据主体的不准确或不完整的数据；

(iii) 如果正在或已经违反这些确保第三方受益权的任何条款的方式处理有关数据主体的个人数据，或者如果数据主体撤回了处理所依据的同意，则删除该数据主体的个人数据。

3. 数据输入方处理个人数据用于直接营销目的的，如果数据主体反对，则数据输入方应停止为此目的进行处理。
4. 数据进口方不得仅根据所传输的个人数据的自动处理（以下简称“自动决策”）做出对数据主体产生法律效力或类似地对其产生重大影响的决定，除非得到数据主体的明确同意。数据主体或根据目的地国家/地区的法律授权这样做，前提是这些法律规定了适当的措施来保护数据主体的权利和合法利益。 在这种情况下，数据导入方应在必要时与数据导出方合作：

(i) 告知数据主体预期的自动决策、预期的后果和所涉及的逻辑； 和

(ii) 实施适当的保障措施，至少让数据主体能够对决定提出异议、表达他/她的观点并获得人员的审查。

5. 如果数据主体的请求过多，特别是由于其重复性，数据导入者可以在考虑批准请求的行政成本的情况下收取合理的费用，或者拒绝对请求采取行动。
6. 如果目的国法律允许拒绝数据主体的请求，并且在民主社会中为保护 23 年法规 (EU) 第 1(2016) 条所列目标之一是必要且相称的，则数据导入方可以拒绝数据主体的请求/679。
7. 如果数据进口方打算拒绝数据主体的请求，应告知数据主体拒绝的原因以及向主管监管机构投诉和/或寻求司法补救的可能性。

条款11

纠正

1. 数据导入方应通过个人通知或在其网站上以透明且易于访问的格式告知数据主体授权处理投诉的联络点。 它应及时处理从数据主体收到的任何投诉。

   [选项：数据导入者同意数据主体也可以向独立机构提出投诉isp解决机构 (11) 无需数据主体承担任何费用。 它应以 (a) 段规定的方式告知数据主体此类补救机制，并且他们不需要使用该机制，或在寻求补救时遵循特定顺序。]

2. 如果有广告isp如果数据主体与一方之间就遵守这些条款的情况发生争执，该方应尽最大努力及时友好地解决问题。 双方应相互通报此类情况isp并在适当的情况下合作解决这些问题。
3. 数据主体依据第三条规定行使第三方受益权的，数据导入方应当接受数据主体的以下决定：

   (i) 向其惯常居住地或工作地点的成员国监管机构或根据第 13 条向主管监管机构提出投诉；

   (ii) 参考 disp向第 18 条含义内的主管法院提起诉讼。

4. 双方接受数据主体可以由非营利机构、组织或协会根据法规 (EU) 80/1 第 2016(679) 条规定的条件代表。
5. 数据导入方应遵守根据适用的欧盟或成员国法律具有约束力的决定。
6. 数据导入方同意，数据主体的选择不会损害其依据适用法律寻求救济的实体和程序权利。

条款12

责任

1. 每一方均应对另一方因违反本条款而给另一方造成的任何损害承担责任。
2. 各方均应对数据主体承担责任，且数据主体有权就一方因违反本条款规定的第三方受益人权利而给数据主体造成的任何物质或非物质损害获得赔偿。 这不影响数据出口商在法规 (EU) 2016/679 下的责任。
3. 如果不止一方对因违反这些条款而对数据主体造成的任何损害负责，则所有责任方应承担连带责任，并且数据主体有权对其中任何一方提起诉讼派对。
4. 双方同意，如果一方根据(c)款承担责任，则该方有权向另一方追回与其损害责任相对应的部分赔偿。
5. 数据导入者不得援引处理者或子处理者的行为来逃避自己的责任。

条款13

监督

1. [如果数据出口商成立于欧盟成员国：] 负责确保数据出口商遵守法规 (EU) 2016/679 关于数据传输的监管机构，如附件 IC 所示，应作为主管部门行事监督机构。

   [如果数据出口商未在欧盟成员国设立，但根据其第 2016(679) 条属于 (EU) 3/2 条例的领土适用范围，并已根据第 27(1) 条指定代表) 条例 (EU) 2016/679 ：] 如附件 IC 所示，在 (EU) 27/1 条例第 2016(679) 条含义内设立代表的成员国的监管机构应采取行动作为主管监督机构。

   [如果数据出口商未在欧盟成员国成立，但根据其第 2016(679) 条属于法规 (EU) 3/2 的适用领土范围，但无需根据第 27 条指定代表(2) 条例 (EU) 2016/679：] 数据主体之一的监管机构，数据主体根据这些条款在向其提供商品或服务时转移其个人数据，或其行为如附件 IC 所示，被监测、位于何处，应作为主管监督机构。

2. 数据导入方同意在任何旨在确保遵守这些条款的程序中服从主管监管机构的管辖并与之合作。 特别是，数据导入方同意回应查询、提交审计并遵守监管​​机构采取的措施，包括补救和补偿措施。 它应向监管机构提供已采取必要措施的书面确认。

第 III 部分 – 地方法律和公共当局访问时的义务

条款14

影响遵守条款的当地法律和惯例

1. 双方保证，他们没有理由相信目的地第三国适用于数据导入方处理个人数据的法律和惯例，包括披露个人数据的任何要求或授权公共当局访问的措施，会阻止数据导入方履行其在本条款下的义务。 这是基于这样的理解，即尊重基本权利和自由本质的法律和做法，并且不超过民主社会中为保障《条例》第 23 条第 1 款所列目标之一所必需和相称的范围（欧盟) 2016/679，与这些条款不矛盾。
2. 双方声明，在提供 (a) 段中的保证时，他们特别考虑了以下要素：

(i) 传输的具体情况，包括处理链的长度、涉及的参与者数量以及使用的传输渠道； 预期的后续转移； 收件人的类型； 处理的目的； 传输的个人数据的类别和格式； 发生转移的经济部门； 所传输数据的存储位置；

(ii) 第三目的地国的法律和惯例——包括要求向公共当局披露数据或授权此类当局访问的法律和惯例——与传输的具体情况以及适用的限制和保障措施相关（12 ）；

(iii) 为补充这些条款下的保障措施而采取的任何相关合同、技术或组织保障措施，包括在目的地国家/地区传输和处理个人数据期间采取的措施。

3. 数据导入方保证，在根据 (b) 段进行评估时，已尽最大努力向数据导出方提供相关信息，并同意将继续与数据导出方合作以确保遵守这些条款。
4. 双方同意根据（b）款记录评估，并应要求将其提供给主管监管机构。
5. 数据进口方同意在同意这些条款后并在合同期限内，如果有理由相信其受到或已经受到不符合第(a)，包括在第三国法律发生变化或采取措施（例如披露请求）表明此类法律在实践中的应用不符合 (a) 段的要求之后。 [对于模块三：数据导出者应将通知转发给控制者。]
6. 在根据第 (e) 款发出通知后，或者如果数据导出方有理由相信数据导入方无法再履行本条款规定的义务，数据导出方应立即确定适当的措施（例如技术或组织措施，以确保数据导出者和/或数据导入者采取的措施来解决这种情况[对于模块三：如果适当，与控制者协商]。 如果数据导出方认为无法确保数据传输的适当保障措施，或者[对于模块三：控制者或]主管监管机构指示这样做，则应暂停数据传输。 在这种情况下，数据导出者有权终止合同，只要涉及根据这些条款处理个人数据。 如果合同涉及两个以上缔约方，则数据导出方只能针对相关缔约方行使终止权，除非双方另有约定。 如果合同根据本条终止，则适用第 16(d) 和 (e) 条。

条款15

公共当局访问时数据导入者的义务

15.1通知

1. 如果出现以下情况，数据导入方同意立即通知数据导出方，并在可能的情况下通知数据主体（如有必要，在数据导出方的帮助下）：

根据目的地国家/地区的法律，从包括司法当局在内的公共机构收到具有法律约束力的请求，要求披露根据这些条款转移的个人数据； 此类通知应包括有关所请求的个人数据、请求当局、请求的法律依据和提供的响应的信息； 或者

了解公共当局根据目的地国家的法律对根据这些条款传输的个人数据的任何直接访问； 此类通知应包括进口商可获得的所有信息。

[对于模块三：数据导出者应将通知转发给控制者。]

2. 如果目的地国法律禁止数据输入方通知数据输出方和/或数据主体，数据输入方同意尽最大努力获得对禁令的放弃，以尽可能多地进行沟通信息尽可能，尽快。 数据导入者同意记录其最大努力，以便能够根据数据导出者的要求展示它们。
3. 在目的地国家/地区法律允许的情况下，数据导入方同意在合同期限内定期向数据导出方提供有关收到的请求的尽可能多的相关信息（特别是请求的数量、请求的数据类型、请求机构、请求是否受到质疑以及 outco我的此类挑战等）。
4. 数据导入方同意在合同期限内根据 (a) 至 (c) 段保存信息，并应要求将其提供给主管监管机构。
5. (a) 至 (c) 段不影响数据导入方根据第 14(e) 条和第 16 条在无法遵守这些条款时及时通知数据导出方的义务。

15.2 合法性审查和数据最小化

1. 数据进口商同意审查披露请求的合法性，特别是它是否仍在授予请求公共当局的权力范围内，并在经过仔细评估后得出结论认为有合理理由认为有合理理由认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则，该请求是非法的。 数据导入方应当在同等条件下寻求申诉的可能性。 在对请求提出异议时，数据输入者应寻求临时措施，以中止请求的效果，直到主管司法当局对其是非曲直作出决定。 在适用的程序规则要求这样做之前，它不得披露所要求的个人数据。 这些要求不影响数据导入者在第 14(e) 条下的义务。
2. 数据进口方同意记录其法律评估以及对披露请求的任何质疑，并在目的地国家/地区法律允许的范围内向数据出口方提供该文件。 它还应根据要求向主管监督机构提供。
3. 数据导入方同意在响应披露请求时，基于合理的理由，提供允许的最小信息量。erp重述请求。

第四部分——最后条款

条款16

不遵守条款和终止

1. 如果数据输入方无论出于何种原因无法遵守本条款，数据输入方应及时通知数据输出方。
2. 如果数据输入方违反本条款或无法遵守本条款，数据输出方应暂停向数据输入方传输个人数据，直至再次确保合规或终止合同。 这不影响第 14(f) 条。
3. 数据输出者有权终止合同，只要它涉及根据这些条款处理个人数据，其中：

   (i) 数据导出方已根据 (b) 款暂停向数据导入方传输个人数据，并且在合理时间内（无论如何在暂停后的一个月内）未恢复对这些条款的遵守

   数据导入者严重或持续违反这些条款； 或者

   (iii) 数据导入者未能遵守主管法院或监管机构就其在这些条款下的义务做出的具有约束力的决定。

   在这些情况下，其应将此类违规行为通知主管监督机构。 如果合同涉及两个以上缔约方，则数据导出方只能针对相关缔约方行使终止权，除非双方另有约定。

4. 根据 (c) 款在合同终止之前转移的个人数据应根据数据导出者的选择立即返还给数据导出者或全部删除。 这同样适用于数据的任何副本。 数据导入方应向数据导出方证明数据已删除。 在数据被删除或返回之前，数据导入者应继续确保遵守这些条款。 如果适用于数据导入方的当地法律禁止返还或删除所传输的个人数据，则数据导入方保证将继续确保遵守这些条款，并且仅在以下范围内处理数据：根据当地法律的要求。
5. 如果 (i) 欧盟委员会根据 (EU) 45/3 号条例第 2016(679) 条作出涵盖本条款适用的个人数据传输的决定，任何一方均可撤销其接受本条款约束的协议； (ii) 条例 (EU) 2016/679 成为个人数据传输到的国家/地区法律框架的一部分。 这不影响适用于条例 (EU) 2016/679 下相关处理的其他义务。

条款17

准据法

选项 1：这些条款应受欧盟成员国之一的法律管辖，前提是该法律允许第三方受益人权利。 双方同意，这应是以下法律： Germany.

条款18

选择法院和管辖权

1. 任何 disp由这些条款引起的纠纷应由欧盟成员国的法院解决。
2. 双方同意，这些法院应为 Germany.
3. 数据主体还可以向其惯常居住地所在成员国的法院提起针对数据输出者和/或数据输入者的法律诉讼。
4. 双方同意接受此类法院的管辖。

(1) 如果数据导出方是受 (EU) 2016/679 法规约束的处理者，代表欧盟机构或团体作为控制者行事，则在聘请不受 (EU) 2016/679 法规约束的另一处理者（子处理）时，应依赖这些条款) 29/4 还确保遵守欧洲议会和理事会 2018 年 1725 月 23 日关于在欧盟处理个人数据方面保护自然人的法规 (EU) 2018/45 第 2001(1247) 条机构、机构、办公室和机构以及此类数据的自由流动，并废除第 2002/295 号法规 (EC) 和第 21.11.2018/39/EC 号决定（OJ L 29，3 年 2018 月 1725 日，第 2021 页），在这些条款与控制者和处理者之间根据法规 (EU) 915/XNUMX 第 XNUMX(XNUMX) 条规定的合同或其他法律行为中规定的数据保护义务一致的情况下。 尤其是控制者和处理者依赖第 XNUMX/XNUMX 号决定中包含的标准合同条款的情况。
(2) 根据 (EU) 26/2016 法规第 679 条的规定，这需要以匿名方式呈现数据，使任何人都无法识别个人身份，并且此过程是不可逆转的。
（3）《欧洲经济区协定》（EEA协定）规定将欧盟内部市场扩展到冰岛、列支敦士登和挪威这三个欧洲经济区国家。 欧盟数据保护法sla包括法规 (EU) 2016/679 在内的 EEA 协议涵盖并已纳入其附件 XI。 因此，数据导入方向位于 EEA 的第三方披露的任何信息均不符合本条款规定的继续传输。
（4）《欧洲经济区协定》（EEA协定）规定将欧盟内部市场扩展到冰岛、列支敦士登和挪威这三个欧洲经济区国家。 欧盟数据保护法sla包括法规 (EU) 2016/679 在内的 EEA 协议涵盖并已纳入其附件 XI。 因此，数据导入方向位于 EEA 的第三方披露的任何信息均不符合本条款规定的继续传输。
(5) 请参阅法规 (EU) 28/4 第 2016(679) 条，如果控制者是欧盟机构或团体，请参阅法规 (EU) 29/4 第 2018(1725) 条。
（6）《欧洲经济区协定》（EEA协定）规定将欧盟内部市场扩展到冰岛、列支敦士登和挪威这三个欧洲经济区国家。 欧盟数据保护法sla包括法规 (EU) 2016/679 在内的 EEA 协议涵盖并已纳入其附件 XI。 因此，数据导入方向位于 EEA 的第三方披露的任何信息均不符合这些条款中的继续传输资格。
(7) 这包括传输和进一步处理是否涉及揭示种族或族裔出身、政治观点、宗教或哲学信仰或工会会员身份的个人数据、用于唯一识别自然人的基因数据或生物识别数据、有关数据健康状况或个人的性生活或性取向，或与刑事定罪或犯罪有关的数据。
(8) 子处理者可以按照第 7 条的规定，在适当的模块下加入这些条款来满足此要求。
(9) 子处理者可以按照第 7 条的规定，在适当的模块下加入这些条款来满足此要求。
(10) 考虑到请求的复杂性和数量，该期限最多可再延长两个月。 数据进口方应及时将任何此类延期通知数据主体。
(11) 数据导入方可提供独立数据isp仅当仲裁机构设立在已批准《纽约仲裁裁决执行公约》的国家/地区时，才能通过仲裁机构解决。
(12) 至于此类法律和惯例对遵守本条款的影响，可以考虑不同的要素作为总体评估的一部分。 这些要素可能包括公共当局要求披露的先前实例的相关且记录在案的实践经验，或没有此类要求的情况，涵盖足够代表性的时间范围。 这尤其指根据尽职调查持续起草并经高级管理层认证的内部记录或其他文件，前提是这些信息可以合法地与第三方共享。 如果依靠这种实践经验得出结论，数据进口者不会被阻止遵守这些条款，则需要有其他相关的客观要素的支持，并且双方应仔细考虑这些要素是否一起包含足够的内容就其可靠性和代表性而言，权重可以支持这一结论。 特别是，双方必须考虑其实际经验是否与公开的或以其他方式可获得的关于同一部门内是否存在请求和/或法律在实践中的适用的可靠信息相证实且不矛盾，例如判例法和独立监督机构的报告。

附录

注释：
必须能够清楚地区分适用于每次传输或传输类别的信息，并在这方面确定缔约方作为数据导出方和/或数据导入方各自的角色。 这不一定需要为每一项转让/转让类别和/或合同关系填写和签署单独的附录，这种透明度可以通过一个附录来实现。 然而，如果有必要确保足够清晰，则应使用单独的附录。

附件I

A. 缔约方名单

数据导出者： [数据导出者及其在欧盟的数据保护官员和/或代表（如适用）的身份和联系方式]

• 姓名： …
  地址： …
  联系人姓名、职位和联系方式：...
  与根据这些条款传输的数据相关的活动：……
  签名和日期：...
  角色（控制器/处理器）：...
• ......

数据导入者： [数据导入者的身份和联系方式，包括负责数据保护的任何联系人]

• 姓名： …
  地址： …
  联系人姓名、职位和联系方式：...
  与根据这些条款传输的数据相关的活动：……
  签名和日期：...
  角色（控制器/处理器）：...
• .....

B. 转让说明

个人数据被转移的数据主体类别
...
传输的个人数据类别
...
传输的敏感数据（如果适用）和应用的限制或保障措施充分考虑到数据的性质和所涉及的风险，例如严格的目的限制、访问限制（包括仅接受过专门培训的工作人员的访问）、保留数据访问记录、继续传输限制或其他安全措施。
...
传输频率（例如，数据是一次性传输还是连续传输）。
...
处理的性质
...
数据传输和进一步处理的目的
...
个人数据将被保留的期限，或者，如果不可能，用于确定该期限的标准
...
对于传输至（子）处理者，还需指定主题 matt呃，处理的性质和持续时间
...

C. 主管监督机构

根据第 13 条确定主管监管机构
...