标准合同条款
第一节
条款1
目的和范围
- 这些标准合同条款的目的是确保遵守欧洲议会和理事会 2016 年 679 月 27 日颁布的关于保护自然人个人数据处理和数据保护的法规 (EU) 2016/1 的要求。此类数据的自由流动(一般数据保护条例)(XNUMX) 将个人数据传输到第三国。
- 双方:(1) 附件 IA 中列出的传输个人数据的自然人或法人、公共机构、代理机构或其他团体(以下简称“实体”)(以下简称“实体”)数据导出器'),以及
(2) 直接或间接通过附件 IA 中所列的本条款缔约方的另一实体从数据导出方接收个人数据的第三国实体(以下简称“数据导入方”)
已同意这些标准合同条款(以下简称“条款”)。 - 这些条款适用于附件 IB 中规定的个人数据传输
- 这些条款的附录包含其中提及的附件,构成这些条款的组成部分。
条款2
条款的效力和不变性
- 这些条款规定了适当的保障措施,包括根据法规 (EU) 46/1 第 46(2) 条和第 2016(679)(c) 条以及与控制者的数据传输有关的可执行数据主体权利和有效的法律补救措施对于处理者和/或处理者对于处理者,根据法规 (EU) 28/7 第 2016(679) 条规定的标准合同条款,前提是它们未经修改,除了选择适当的模块或添加或更新信息附录。 这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同中和/或添加其他条款或额外的保障措施,前提是它们不直接或间接与这些条款相抵触或损害基本权利或数据主体的自由。
- 这些条款不影响数据出口商根据法规 (EU) 2016/679 所承担的义务。
条款3
第三方受益人
- 数据主体可以作为第三方受益人针对数据导出者和/或数据导入者援引和执行这些条款,但以下例外:(i) 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条;
(ii) 第 8 条 – 模块一:第 8.5 (e) 条和第 8.9(b) 条; 模块二:第 8.1(b)、8.9(a)、(c)、(d) 和 (e) 条; 模块三:第 8.1(a)、(c) 和 (d) 条以及第 8.9(a)、(c)、(d)、(e)、(f) 和 (g) 条; 模块四:第 8.1 (b) 条和第 8.3(b) 条;
(iii) 第 9 条 – 模块二:第 9(a)、(c)、(d) 和 (e) 条; 模块三:第 9(a)、(c)、(d) 和 (e) 条;
(iv) 第 12 条 – 模块一:第 12(a) 和 (d) 条; 模块二和三:第 12(a)、(d) 和 (f) 条;
(v) 第 13 条;
(vi) 第 15.1(c)、(d) 和 (e) 条;
(vii) 第 16(e) 条;
(viii) 第 18 条 – 模块一、二和三:第 18(a) 和 (b) 条; 模块四:第 18 条。
- (a) 段不损害数据主体在法规 (EU) 2016/679 下的权利。
条款4
诠释erp复述
- 如果这些条款使用法规 (EU) 2016/679 中定义的术语,则这些术语应与该法规中的含义相同。
- 应阅读并理解这些条款erp根据法规 (EU) 2016/679 的规定进行审查。
- 这些条款不应被视为无效erp其方式与 (EU) 2016/679 法规中规定的权利和义务相冲突。
条款5
等级制度
如果本条款与双方在本条款达成或之后订立时存在的相关协议的规定发生冲突,以本条款为准。
条款6
转移说明
传输的详细信息,特别是传输的个人数据类别和传输目的,在附件 IB 中详细说明
条款7
对接条款
- 经双方同意,非本条款缔约方的实体可随时以数据输出者或数据输入者的身份通过填写附录并签署附件 IA 加入本条款
- 一旦完成附录并签署附录 IA,加入实体应成为这些条款的缔约方,并根据其在附录 IA 中的指定,拥有数据输出者或数据输入者的权利和义务
- 加入实体在成为缔约方之前的时期内不享有本条款项下的任何权利或义务。
第二部分——各方的义务
条款8
数据保护保障
数据输出方保证已尽合理努力确定数据输入方能够通过实施适当的技术和组织措施来履行其在这些条款下的义务。
8.1说明
- 数据输入者应仅根据数据输出者的书面指示处理个人数据。 数据输出方可以在整个合同期间发出此类指示。
- 数据输入方如无法按照指示执行,应立即通知数据输出方。
8.2 目的限制
除非数据输出者有进一步的指示,否则数据输入者应仅出于传输的特定目的处理个人数据,如附件 IB 中所述。
8.3 透明度
根据要求,数据输出方应免费向数据主体提供这些条款的副本,包括双方填写的附录。 在保护商业秘密或其他机密信息(包括附件 II 中描述的措施和个人数据)所必需的范围内,数据导出者可以在共享副本之前编辑本条款附录的部分文本,但应提供有意义的数据主体将无法理解其内容或行使其权利的摘要。 根据要求,双方应尽可能向数据主体提供修改的原因,但不透露修改的信息。 本条款不影响数据输出方在法规 (EU) 13/14 第 2016 条和第 679 条下的义务。
8.4精度
如果数据输入方发现其收到的个人数据不准确或已过时,应立即通知数据输出方。 在这种情况下,数据导入方应配合数据导出方删除或更正数据。
8.5 处理和删除或返回数据的持续时间
数据导入方的处理只能在附件 IB 中规定的期限内进行 在提供处理服务结束后,数据导入方应根据数据导出方的选择删除代表数据处理的所有个人数据出口商并向数据出口商证明其已这样做,或将代表其处理的所有个人数据退还给数据出口商并删除现有副本。 在数据被删除或返回之前,数据导入方应继续确保遵守这些条款。 如果适用于数据导入方的当地法律禁止返回或删除个人数据,则数据导入方保证将继续确保遵守这些条款,并且只会在该条款要求的范围内和最长的时间内处理数据当地法律。 这不影响第 14 条,特别是第 14(e) 条规定的数据导入方在有理由相信其受到或已经受到法律或惯例约束的情况下,在整个合同期间通知数据导出方的要求不符合第 14(a) 条的要求。
8.6 处理的安全性
- 数据进口方以及数据出口方在传输过程中应采取适当的技术和组织措施,以确保数据的安全,包括防止违反安全规定导致意外或非法破坏、丢失、更改、未经授权的披露或访问该数据(以下简称“个人数据泄露”)。 在评估适当的安全级别时,双方应适当考虑现有技术、实施成本、处理的性质、范围、背景和目的以及数据主体处理中涉及的风险。 双方应特别考虑采用加密或假名化,包括在传输过程中,只要可以通过这种方式实现处理目的。 在使用假名的情况下,用于将个人数据归属于特定数据主体的附加信息应在可能的情况下保持在数据导出者的专有控制之下。 在履行本款规定的义务时,数据进口方应至少实施附件二规定的技术和组织措施。 数据进口方应定期检查,以确保这些措施继续提供适当的安全级别。
- 数据导入方应仅在合同的实施、管理和监控严格必要的范围内向其人员授予访问个人数据的权限。 它应确保被授权处理个人数据的人员已承诺保密或承担适当的法定保密义务。
- 如果数据导入方根据本条款处理的个人数据发生个人数据泄露事件,数据导入方应采取适当措施解决该违规行为,包括减轻其不利影响的措施。 数据导入方还应在知悉违规行为后立即通知数据导出方,不得无故拖延。 此类通知应包含可以获取更多信息的联系点的详细信息、对违规性质的描述(在可能的情况下,包括相关的数据主体和个人数据记录的类别和大致数量)、其可能的后果以及为解决违规而采取或提议的措施,包括在适当情况下减轻其可能的不利影响的措施。 在不可能同时提供所有信息的情况下,初始通知应包含当时可获得的信息,而进一步的信息应在获得后立即提供,不得无故拖延。
- 数据进口方应配合并协助数据出口方,使数据出口方能够履行其在法规 (EU) 2016/679 下的义务,特别是通知主管监管机构和受影响的数据主体,同时考虑到数据的性质处理和数据导入者可用的信息。
8.7 敏感数据
如果传输涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的个人数据、基因数据或生物识别数据,用于唯一识别自然人的目的,有关健康或个人性生活的数据,或性取向或与刑事定罪和犯罪有关的数据(以下简称“敏感数据”),数据导入者应应用附件 IB 中描述的具体限制和/或附加保障措施
8.8 继续传输
数据进口方只能根据数据出口方的书面指示向第三方披露个人数据。 此外,如果第三方是或同意,数据只能披露给位于欧盟 (4) 之外的第三方(与数据导入者位于同一国家或在另一个第三国,以下称为“继续传输”)在适当的模块下受这些条款的约束,或者如果:
-
- (i) 继续转移至受益于根据涵盖继续转移的 (EU) 45/2016 法规第 679 条的充分性决定的国家;
-
- (ii) 第三方根据 (EU) 46/47 法规第 2016 或 679 条以其他方式确保针对相关处理采取适当的保障措施;
-
- (iii) 继续转移对于在特定行政、监管或司法程序中确立、行使或辩护法律主张是必要的; 或者
- (iv) 为了保护数据主体或其他自然人的切身利益,有必要继续传输。
任何向前传输都必须由数据导入方遵守这些条款下的所有其他保障措施,特别是目的限制。
8.9 文件和合规性
- 数据输入方应及时、充分地处理数据输出方就本条款下的处理提出的询问。
- 双方应能够证明遵守这些条款。 特别是,数据导入方应保留代表数据导出方进行的处理活动的适当文件。
- 数据导入方应向数据导出方提供所有必要信息,以证明其遵守本条款中规定的义务,并应数据导出方的要求,允许并协助对本条款所涵盖的处理活动进行审计,以合理的时间间隔或如果有不合规的迹象。 在决定审查或审计时,数据输出方可以考虑数据输入方持有的相关证明。
- 数据输出者可以选择自己进行审计或委托独立审计员进行审计。 审核可能包括对数据导入者的场所或物理设施的检查,并应在适当情况下在合理通知的情况下进行。
- 双方应根据要求向主管监管机构提供(b)和(c)段中提及的信息,包括任何审计结果。
条款9
使用子处理器
- 选项 1:事先特定授权 未经数据导出者事先特定书面授权,数据导入者不得将根据本条款代表数据导出者执行的任何处理活动分包给分处理者。 数据导入者应至少在子处理者参与之前[指定时间段]提交特定授权请求,以及使数据导出者能够决定授权所需的信息。 数据导出方已授权的分处理者列表可在附件三中找到。 双方应及时更新附件 III。 选项 2:一般书面授权 数据进口方拥有数据出口方的一般授权,可聘用商定列表中的子处理者。 数据导入方应至少提前[指定时间段]以书面形式明确通知数据导出方通过添加或更换子处理者对该列表进行的任何预期更改,从而为数据导出方提供足够的时间来反对在子处理者参与之前进行此类更改。 数据导入方应向数据导出方提供必要的信息,以便数据导出方行使其反对权。
- 如果数据进口方聘请分处理方(代表数据出口方)开展特定处理活动,则应通过书面合同的方式进行,该合同实质上规定了与约束数据出口方相同的数据保护义务。这些条款下的数据进口方,包括数据主体的第三方受益权。 (8) 双方同意,通过遵守本条款,数据导入方履行了第 8.8 条规定的义务。 数据导入者应确保分处理者遵守数据导入者根据这些条款应承担的义务。
- 如果数据进口方聘请分处理方(代表数据出口方)开展特定处理活动,则应通过书面合同的方式进行,该合同实质上规定了与约束数据出口方相同的数据保护义务。这些条款下的数据进口方,包括数据主体的第三方受益权。 (8) 双方同意,通过遵守本条款,数据导入方履行了第 8.8 条规定的义务。 数据导入者应确保分处理者遵守数据导入者根据这些条款应承担的义务。
- 数据进口方应对数据出口方履行其与数据进口方签订的合同项下的子处理方义务对数据出口方承担全部责任。 数据导入方应通知数据导出方子处理方未能履行其在该合同项下的义务。
- 数据导入方应与分处理方商定第三方受益人条款,根据该条款——如果数据导入方实际消失、在法律上不复存在或资不抵债——数据导出方有权终止分处理器合同并指示子处理器删除或返回个人数据。
条款10
数据主体权利
- 数据输入方收到数据主体的任何请求,应当及时通知数据输出方。 除非得到数据输出者的授权,否则它不应自行响应该请求。
- 数据进口方应协助数据出口方履行其义务,以回应数据主体根据法规 (EU) 2016/679 行使其权利的请求。 在这方面,缔约方应在附件二中列出适当的技术和组织措施,同时考虑到提供援助的处理性质,以及所需援助的范围和程度。
- 在履行 (a) 和 (b) 款规定的义务时,数据输入方应遵守数据输出方的指示。
条款11
纠正
- 数据进口方应通过单独通知或在其网站上以透明且易于访问的格式告知数据主体有权处理投诉的联络点。 它应立即处理从数据主体收到的任何投诉。[选项:数据导入者同意数据主体也可以向独立机构提出投诉。isp解决机构 (11) 无需数据主体承担任何费用。 它应以 (a) 段规定的方式告知数据主体此类补救机制,并且他们不需要使用该机制,或在寻求补救时遵循特定顺序。]
- 如果有广告isp如果数据主体与一方之间就遵守这些条款的情况发生争执,该方应尽最大努力及时友好地解决问题。 双方应相互通报此类情况isp并在适当的情况下合作解决这些问题。
- 如果数据主体根据第 3 条援引第三方受益权,数据进口方应接受数据主体的决定:(i) 向其惯常居住地成员国的监管机构提出投诉,或工作地点,或第 13 条规定的主管监督机构;
(ii) 参考 disp向第 18 条含义内的主管法院提起诉讼。 - 双方接受数据主体可以由非营利机构、组织或协会根据法规 (EU) 80/1 第 2016(679) 条规定的条件代表。
- 数据导入方应遵守根据适用的欧盟或成员国法律具有约束力的决定。
- 数据导入方同意,数据主体的选择不会损害其依据适用法律寻求救济的实体和程序权利。
条款12
责任
- 每一方均应对另一方因违反本条款而给另一方造成的任何损害承担责任。
- 数据进口方或其子处理方因侵犯第三方受益权给数据主体造成的任何物质或非物质损害,数据进口方应对数据主体承担责任,数据主体有权获得赔偿根据这些条款。
- 尽管有 (b) 段的规定,数据输出者应对数据主体承担责任,并且数据主体有权就数据输出者或数据输入者(或其子处理者)的任何物质或非物质损害获得赔偿通过违反本条款下的第三方受益人权利导致数据主体。 这不影响数据导出者的责任,如果数据导出者是代表控制者行事的处理者,则不影响控制者根据条例 (EU) 2016/679 或条例 (EU) 2018/1725 的责任,视情况而定。
- 双方同意,如果数据输出方根据 (c) 款对数据输入方(或其分处理方)造成的损害承担责任,则有权向数据输入方追回与数据输入方相应的部分赔偿。数据进口商对损坏的责任。
- 如果不止一方对因违反这些条款而对数据主体造成的任何损害负责,则所有责任方应承担连带责任,并且数据主体有权对其中任何一方提起诉讼派对。
- 双方同意,如果一方根据(e)款承担责任,则有权向另一方追回与其损害责任相对应的部分赔偿。
- 数据导入方不得援引子处理方的行为来规避自己的责任。
条款13
监督
- [如果数据出口商成立于欧盟成员国:] 负责确保数据出口商遵守法规 (EU) 2016/679 关于数据传输的监管机构,如附件 IC 所示,应作为主管部门行事监督机构。
[如果数据出口商未在欧盟成员国设立,但根据其第 2016(679) 条属于 (EU) 3/2 条例的领土适用范围,并已根据第 27(1) 条指定代表) 条例 (EU) 2016/679 :] 如附件 IC 所示,在 (EU) 27/1 条例第 2016(679) 条含义内设立代表的成员国的监管机构应采取行动作为主管监督机构。
[如果数据出口商未在欧盟成员国成立,但根据其第 2016(679) 条属于法规 (EU) 3/2 的适用领土范围,但无需根据第 27 条指定代表(2) 条例 (EU) 2016/679:] 数据主体之一的监管机构,数据主体根据这些条款在向其提供商品或服务时转移其个人数据,或其行为如附件 IC 所示,被监测、位于何处,应作为主管监督机构。 - 数据导入方同意在任何旨在确保遵守这些条款的程序中服从主管监管机构的管辖并与之合作。 特别是,数据导入方同意回应查询、提交审计并遵守监管机构采取的措施,包括补救和补偿措施。 它应向监管机构提供已采取必要措施的书面确认。
第 III 部分 – 地方法律和公共当局访问时的义务
条款14
影响遵守条款的当地法律和惯例
- 双方保证,他们没有理由相信目的地第三国适用于数据导入方处理个人数据的法律和惯例,包括披露个人数据的任何要求或授权公共当局访问的措施,会阻止数据导入方履行其在本条款下的义务。 这是基于这样的理解,即尊重基本权利和自由本质的法律和做法,并且不超过民主社会中为保障《条例》第 23 条第 1 款所列目标之一所必需和相称的范围(欧盟) 2016/679,与这些条款不矛盾。
- 双方声明,在提供(a)款中的保证时,他们特别考虑了以下要素:(i) 转让的具体情况,包括处理链的长度、涉及的参与者的数量以及使用的传输通道; 预期的后续转移; 收件人的类型; 处理的目的; 传输的个人数据的类别和格式; 发生转移的经济部门; 所传输数据的存储位置;
(ii) 第三目的地国的法律和惯例——包括要求向公共当局披露数据或授权此类当局访问的法律和惯例——与传输的具体情况以及适用的限制和保障措施相关(12 );(iii) 为补充这些条款下的保障措施而采取的任何相关合同、技术或组织保障措施,包括在目的地国家/地区传输和处理个人数据期间采取的措施。
- 数据导入方保证,在根据 (b) 段进行评估时,已尽最大努力向数据导出方提供相关信息,并同意将继续与数据导出方合作以确保遵守这些条款。
- 双方同意根据(b)款记录评估,并应要求将其提供给主管监管机构。
- 数据进口方同意,如果在同意这些条款后且在合同期限内,数据进口方有理由相信自己正在或已经受到不符合第 XNUMX 款要求的法律或惯例的约束,则立即通知数据出口方(a),包括第三国法律发生变化或表明该法律在实践中的应用不符合(a)款要求的措施(例如披露请求)之后。
- 在根据 (e) 款发出通知后,或者如果数据导出方有理由相信数据导入方无法再履行本条款规定的义务,数据导出方应立即采取适当措施(例如技术或组织措施,以确保安全性和保密性)由数据导出者和/或数据导入者采取来解决这种情况。 如果数据出口方认为无法确保数据传输的适当保障,或者主管监管机构指示这样做,则应暂停数据传输。 在这种情况下,数据导出者有权终止合同,只要涉及根据这些条款处理个人数据。 如果合同涉及两个以上缔约方,则数据导出方只能针对相关缔约方行使终止权,除非双方另有约定。 如果合同根据本条终止,则适用第 16(d) 和 (e) 条。
条款15
公共当局访问时数据导入者的义务
15.1通知
- 数据进口方同意在以下情况下立即通知数据出口方,并在可能的情况下通知数据主体(如有必要,在数据出口方的帮助下):(i) 收到公共机构(包括司法机构)根据以下规定提出的具有法律约束力的请求:目的地国家/地区关于披露根据这些条款传输的个人数据的法律; 此类通知应包括有关所请求的个人数据、请求机构、请求的法律依据以及所提供的答复的信息; 或者
(ii) 了解公共机构根据目的地国家/地区的法律对根据这些条款传输的个人数据的任何直接访问; 此类通知应包括进口商可获得的所有信息。
[对于模块三:数据导出者应将通知转发给控制者。] - 如果目的地国法律禁止数据输入方通知数据输出方和/或数据主体,数据输入方同意尽最大努力获得对禁令的放弃,以尽可能多地进行沟通信息尽可能,尽快。 数据导入者同意记录其最大努力,以便能够根据数据导出者的要求展示它们。
- 在目的地国家/地区法律允许的情况下,数据导入方同意在合同期限内定期向数据导出方提供有关收到的请求的尽可能多的相关信息(特别是请求的数量、请求的数据类型、请求机构、请求是否受到质疑以及 outco我的此类挑战等)。
- 数据导入方同意在合同期限内根据 (a) 至 (c) 段保存信息,并应要求将其提供给主管监管机构。
- (a) 至 (c) 段不影响数据导入方根据第 14(e) 条和第 16 条在无法遵守这些条款时及时通知数据导出方的义务。
15.2 合法性审查和数据最小化
- 数据进口商同意审查披露请求的合法性,特别是它是否仍在授予请求公共当局的权力范围内,并在经过仔细评估后得出结论认为有合理理由认为有合理理由认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则,该请求是非法的。 数据导入方应当在同等条件下寻求申诉的可能性。 在对请求提出异议时,数据输入者应寻求临时措施,以中止请求的效果,直到主管司法当局对其是非曲直作出决定。 在适用的程序规则要求这样做之前,它不得披露所要求的个人数据。 这些要求不影响数据导入者在第 14(e) 条下的义务。
- 数据导入方同意记录其法律评估和对披露请求的任何质疑,并在目的地国法律允许的范围内,向数据导出方提供文件。 它还应根据要求将其提供给主管监管机构。 [对于模块三:数据输出者应向控制者提供评估。]
- 数据导入方同意在响应披露请求时,基于合理的理由,提供允许的最小信息量。erp重述请求。
第四部分——最后条款
条款16
不遵守条款和终止
- 如果数据输入方无论出于何种原因无法遵守本条款,数据输入方应及时通知数据输出方。
- 如果数据输入方违反本条款或无法遵守本条款,数据输出方应暂停向数据输入方传输个人数据,直至再次确保合规或终止合同。 这不影响第 14(f) 条。
- 数据导出方有权终止合同,只要涉及这些条款下的个人数据处理,如果:(i) 数据导出方已根据 (b) 款暂停向数据导入方传输个人数据,并且在合理时间内,且无论如何在暂停后的一个月内,未恢复对这些条款的遵守;
(ii) 数据导入者严重或持续违反这些条款; 或者
(iii) 数据导入者未能遵守主管法院或监管机构就其在这些条款下的义务做出的具有约束力的决定。
在这些情况下,它应将此类违规行为通知主管监管机构[模块三:和控制者]。 合同涉及双方以上的,除非双方另有约定,否则数据输出方只能对相关方行使终止权。 - 根据 (c) 款在合同终止之前转移的个人数据应根据数据导出者的选择立即返还给数据导出者或全部删除。 这同样适用于数据的任何副本。] [对于模块四:欧盟数据出口者收集的、在合同终止前根据 (c) 款转移的个人数据应立即在其数据中删除。全部,包括其任何副本。] 数据导入方应向数据导出方证明数据已删除。 在数据被删除或返回之前,数据导入者应继续确保遵守这些条款。 如果适用于数据导入方的当地法律禁止返还或删除所传输的个人数据,则数据导入方保证将继续确保遵守这些条款,并且仅在以下范围内处理数据:根据当地法律的要求。
- 如果 (i) 欧盟委员会根据 (EU) 45/3 号条例第 2016(679) 条作出涵盖本条款适用的个人数据传输的决定,任何一方均可撤销其接受本条款约束的协议; (ii) 条例 (EU) 2016/679 成为个人数据传输到的国家/地区法律框架的一部分。 这不影响适用于条例 (EU) 2016/679 下相关处理的其他义务。
条款17
准据法
这些条款应受欧盟成员国之一的法律管辖,前提是该法律允许第三方受益权。 双方同意,这应是以下法律: Germany.
条款18
选择法院和管辖权
- 任何 disp由这些条款引起的纠纷应由欧盟成员国的法院解决。
- 双方同意,这些法院应为 Germany.
- 数据主体还可以向其惯常居住地所在成员国的法院提起针对数据输出者和/或数据输入者的法律诉讼。
- 双方同意接受此类法院的管辖。
(1) 如果数据导出方是受 (EU) 2016/679 法规约束的处理者,代表欧盟机构或团体作为控制者行事,则在聘请不受 (EU) 2016/679 法规约束的另一处理者(子处理)时,应依赖这些条款) 29/4 还确保遵守欧洲议会和理事会 2018 年 1725 月 23 日关于在欧盟处理个人数据方面保护自然人的法规 (EU) 2018/45 第 2001(1247) 条机构、机构、办公室和机构以及此类数据的自由流动,并废除第 2002/295 号法规 (EC) 和第 21.11.2018/39/EC 号决定(OJ L 29,3 年 2018 月 1725 日,第 2021 页),在这些条款与控制者和处理者之间根据法规 (EU) 915/XNUMX 第 XNUMX(XNUMX) 条规定的合同或其他法律行为中规定的数据保护义务一致的情况下。 尤其是控制者和处理者依赖第 XNUMX/XNUMX 号决定中包含的标准合同条款的情况。
(2) 根据 (EU) 26/2016 法规第 679 条的规定,这需要以匿名方式呈现数据,使任何人都无法识别个人身份,并且此过程是不可逆转的。
(3)《欧洲经济区协定》(EEA协定)规定将欧盟内部市场扩展到冰岛、列支敦士登和挪威这三个欧洲经济区国家。 欧盟数据保护法sla包括法规 (EU) 2016/679 在内的 EEA 协议涵盖并已纳入其附件 XI。 因此,数据导入方向位于 EEA 的第三方披露的任何信息均不符合本条款规定的继续传输。
(4)《欧洲经济区协定》(EEA协定)规定将欧盟内部市场扩展到冰岛、列支敦士登和挪威这三个欧洲经济区国家。 欧盟数据保护法sla包括法规 (EU) 2016/679 在内的 EEA 协议涵盖并已纳入其附件 XI。 因此,数据导入方向位于 EEA 的第三方披露的任何信息均不符合本条款规定的继续传输。
(5) 请参阅法规 (EU) 28/4 第 2016(679) 条,如果控制者是欧盟机构或团体,请参阅法规 (EU) 29/4 第 2018(1725) 条。
(6)《欧洲经济区协定》(EEA协定)规定将欧盟内部市场扩展到冰岛、列支敦士登和挪威这三个欧洲经济区国家。 欧盟数据保护法sla包括法规 (EU) 2016/679 在内的 EEA 协议涵盖并已纳入其附件 XI。 因此,数据导入方向位于 EEA 的第三方披露的任何信息均不符合这些条款中的继续传输资格。
(7) 这包括传输和进一步处理是否涉及揭示种族或族裔出身、政治观点、宗教或哲学信仰或工会会员身份的个人数据、用于唯一识别自然人的基因数据或生物识别数据、有关数据健康状况或个人的性生活或性取向,或与刑事定罪或犯罪有关的数据。
(8) 子处理者可以按照第 7 条的规定,在适当的模块下加入这些条款来满足此要求。
(9) 子处理者可以按照第 7 条的规定,在适当的模块下加入这些条款来满足此要求。
(10) 考虑到请求的复杂性和数量,该期限最多可再延长两个月。 数据进口方应及时将任何此类延期通知数据主体。
(11) 数据导入方可提供独立数据isp仅当仲裁机构设立在已批准《纽约仲裁裁决执行公约》的国家/地区时,才能通过仲裁机构解决。
(12) 至于此类法律和惯例对遵守本条款的影响,可以考虑不同的要素作为总体评估的一部分。 这些要素可能包括公共当局要求披露的先前实例的相关且记录在案的实践经验,或没有此类要求的情况,涵盖足够代表性的时间范围。 这尤其指根据尽职调查持续起草并经高级管理层认证的内部记录或其他文件,前提是这些信息可以合法地与第三方共享。 如果依靠这种实践经验得出结论,数据进口者不会被阻止遵守这些条款,则需要有其他相关的客观要素的支持,并且双方应仔细考虑这些要素是否一起包含足够的内容就其可靠性和代表性而言,权重可以支持这一结论。 特别是,双方必须考虑其实际经验是否与公开的或以其他方式可获得的关于同一部门内是否存在请求和/或法律在实践中的适用的可靠信息相证实且不矛盾,例如判例法和独立监督机构的报告。
附录
注释:
必须能够清楚地区分适用于每次传输或传输类别的信息,并在这方面确定缔约方作为数据导出方和/或数据导入方各自的角色。 这不一定需要为每一项转让/转让类别和/或合同关系填写和签署单独的附录,这种透明度可以通过一个附录来实现。 然而,如果有必要确保足够清晰,则应使用单独的附录。
附件I
A. 缔约方名单
数据导出者: [数据导出者及其在欧盟的数据保护官员和/或代表(如适用)的身份和联系方式]
- 姓名: ………。
地址: ……。
联系人姓名、职务及联系方式:…………..
与根据这些条款传输的数据相关的活动:…………
签名和日期:………….. - 角色(控制器/处理器):…………。
数据导入者: [数据导入者的身份和联系方式,包括负责数据保护的任何联系人]
- 姓名: ………。
地址: ……。
联系人姓名、职务及联系方式:…………..
与根据这些条款传输的数据相关的活动:…………
签名和日期:………….. - 角色(控制器/处理器):…………。
B. 转让说明
个人数据被转移的数据主体类别
...
传输的个人数据类别
...
传输的敏感数据(如果适用)和应用的限制或保障措施充分考虑到数据的性质和所涉及的风险,例如严格的目的限制、访问限制(包括仅接受过专门培训的工作人员的访问)、保留数据访问记录、继续传输限制或其他安全措施。
...
传输频率(例如,数据是一次性传输还是连续传输)。
...
处理的性质
...
数据传输和进一步处理的目的
...
个人数据将被保留的期限,或者,如果不可能,用于确定该期限的标准
...
对于传输至(子)处理者,还需指定主题 matt呃,处理的性质和持续时间
...
C. 主管监督机构
根据第 13 条确定主管监管机构
...
附件二
技术和组织措施,包括确保数据安全的技术和组织措施
注释:
技术和组织措施必须以特定(而非通用)术语进行描述。 另请参见附录第一页的一般性评论,特别是需要明确指出哪些措施适用于每项转让/一组转让。
描述数据导入者(包括任何相关认证)实施的技术和组织措施,以确保适当的安全级别,同时考虑到处理的性质、范围、上下文和目的,以及权利的风险和自然人的自由。
[可能采取的措施示例:
个人数据的假名化和加密措施
确保处理系统和服务持续保密性、完整性、可用性和弹性的措施
确保在发生物理或技术事件时能够及时恢复个人数据的可用性和访问权限的措施
定期测试、评估和评估技术和组织措施有效性的流程,以确保处理的安全性
用户身份识别和授权措施
传输过程中数据保护措施
存储期间数据保护措施
确保个人数据处理地点的物理安全的措施
确保事件记录的措施
确保系统配置的措施,包括默认配置
内部IT和IT安全治理和管理措施
流程和产品的认证/保证措施
确保数据最小化的措施
确保数据质量的措施
确保有限数据保留的措施
确保问责的措施
允许数据可移植并确保删除的措施]
对于向(子)处理者的转移,还应描述(子)处理者为能够向控制者提供帮助而采取的具体技术和组织措施,对于从处理者到子处理者的转移,以数据导出器
附件三
分处理者列表
注释:
如果有子处理者的具体授权(第 9(a) 条,选项 1),则必须为模块二和三填写本附件。
控制器已授权使用以下子处理器:
- 姓名: ………。
地址: ……。
联系人姓名、职务及联系方式:………….. - 处理描述(包括在授权多个子处理者的情况下明确的责任划分):…………。