Aryaka 启动迁移加速计划,帮助组织替换旧网络安全产品

阅读新闻稿 > X
aryaka aryaka

免责声明: 本文档是根据以下位置提供的文本生成的: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en#ntc12-L_2021199EN.01003701-E0012 并为方便目的而提供。 它不应被视为权威文本或法律指南。

标准合同条款

处理器到处理器

第一节

条款1

目的和范围

    1. 这些标准合同条款的目的是确保遵守欧洲议会和理事会 2016 年 679 月 27 日颁布的关于保护自然人个人数据处理和数据保护的法规 (EU) 2016/XNUMX 的要求。此类数据的自由流动(一般数据保护条例)([1])将个人数据传输到第三国。
    2. 那些政党,那些派对:
      1. 附件 IA 中列出的传输个人数据的自然人或法人、公共机构、代理机构或其他团体(以下简称“实体”)(以下简称“数据导出者”),以及
      2. 直接或间接通过附件 IA 中所列的本条款缔约方的另一实体从数据导出方接收个人数据的第三国实体(以下简称“数据导入方”)已同意这些标准合同条款(以下简称:“条款”)。
    3. 这些条款适用于附件 IB 中规定的个人数据传输
    4. 这些条款的附录包含其中提及的附件,构成这些条款的组成部分。

条款2

条款的效力和不变性

  1. 这些条款规定了适当的保障措施,包括根据法规 (EU) 46/1 第 46(2) 条和第 2016(679)(c) 条以及与控制者的数据传输有关的可执行数据主体权利和有效的法律补救措施对于处理者和/或处理者对于处理者,根据法规 (EU) 28/7 第 2016(679) 条规定的标准合同条款,前提是它们未经修改,除了选择适当的模块或添加或更新信息附录。 这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同中和/或添加其他条款或额外的保障措施,前提是它们不直接或间接与这些条款相抵触或损害基本权利或数据主体的自由。
  2. 这些条款不影响数据出口商根据法规 (EU) 2016/679 所承担的义务。

条款3

第三方受益人

  1. 数据主体可以作为第三方受益人,针对数据导出者和/或数据导入者援引和执行这些条款,但以下情况除外:

      2. (i) 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条;

      (ii) 第 8.1(a)、(c) 和 (d) 条以及第 8.9(a)、(c)、(d)、(e)、(f) 和 (g) 条;

      (iii) 第 9(a)、(c)、(d) 和 (e) 条;

      (iv) 第 12(a)、(d) 和 (f) 条;

      (v) 第 13 条;

      (vi) 第 15.1(c)、(d) 和 (e) 条;

      (vii) 第 16(e) 条;

      (viii) 第 18(a) 和 (b) 条。

  2. (a) 段不损害数据主体在法规 (EU) 2016/679 下的权利。

条款4

诠释erp复述

  1. 如果这些条款使用法规 (EU) 2016/679 中定义的术语,则这些术语应与该法规中的含义相同。
  2. 应阅读并理解这些条款erp根据法规 (EU) 2016/679 的规定进行审查。
  3. 这些条款不应被视为无效erp其方式与 (EU) 2016/679 法规中规定的权利和义务相冲突。

条款5

等级制度

如果本条款与双方在本条款达成或之后订立时存在的相关协议的规定发生冲突,以本条款为准。

条款6

转移说明

传输的详细信息,特别是传输的个人数据类别和传输目的,在附件 IB 中详细说明

第 7 条 – 可选

对接条款

  1. 经双方同意,非本条款缔约方的实体可随时以数据输出者或数据输入者的身份通过填写附录并签署附件 IA 加入本条款
  2. 一旦完成附录并签署附录 IA,加入实体应成为这些条款的缔约方,并根据其在附录 IA 中的指定,拥有数据输出者或数据输入者的权利和义务
  3. 加入实体在成为缔约方之前的时期内不享有本条款项下的任何权利或义务。

第二部分——各方的义务

条款8

数据保护保障

数据输出方保证已尽合理努力确定数据输入方能够通过实施适当的技术和组织措施来履行其在这些条款下的义务。

8.1 使用说明

  1. 数据输出方已通知数据输入方,其根据其控制者的指示作为处理方,数据输出方应在处理前向数据输入方提供该信息。
  2. 数据导入者应仅根据控制者的书面指令处理个人数据,如数据导出者向数据导入者传达的那样,以及数据导出者的任何其他书面指令。 此类附加指令不得与控制器的指令相冲突。 控制者或数据输出者可能会在整个合同期间就数据处理提供进一步的书面说明。
  3. 数据输入方如不能按照指示执行,应立即通知数据输出方。 数据输入者无法按照控制者的指示执行的,数据输出者应当立即通知控制者。
  4. 数据导出方保证其已对数据导入方施加与控制者和数据导出方之间的合同或其他法律行为中规定的相同的数据保护义务([2]).

8.2 目的限制

数据导入方应仅出于附件 IB 中规定的特定传输目的处理个人数据,除非数据导出方向数据导入方传达的控制者的进一步指示,或根据数据出口商。

8.3 透明度

根据要求,数据输出方应免费向数据主体提供这些条款的副本,包括双方填写的附录。 在保护商业秘密或其他机密信息(包括个人数据)所必需的范围内,数据导出者可以在共享副本之前编辑附录的部分文本,但应在数据主体无法提供的情况下提供有意义的摘要了解其内容或行使他/她的权利。 根据要求,双方应尽可能向数据主体提供修改的原因,但不透露修改的信息。

8.4 准确度

如果数据输入方发现其收到的个人数据不准确或已过时,应立即通知数据输出方。 在这种情况下,数据导入方应配合数据导出方对数据进行整改或删除。

8.5 处理和删除或返回数据的持续时间

数据导入方的处理应仅在附件 IB 中规定的期限内进行并向数据导出者证明其已这样做,或将代表其处理的所有个人数据退还给数据导出者并删除现有副本。 在数据被删除或返回之前,数据导入方应继续确保遵守这些条款。 如果适用于数据导入方的当地法律禁止返回或删除个人数据,则数据导入方保证将继续确保遵守这些条款,并且只会在该条款要求的范围内和最长的时间内处理数据当地法律。 这不影响第 14 条,特别是第 14(e) 条规定的数据导入方在有理由相信其受到或已经受到法律或惯例约束的情况下,在整个合同期间通知数据导出方的要求不符合第 14(a) 条的要求。

8.6 处理的安全性

  1. 数据进口方以及数据出口方在传输过程中应采取适当的技术和组织措施,以确保数据的安全,包括防止因安全漏洞而导致意外或非法破坏、丢失、更改、未经授权的披露或访问。该数据(以下简称“个人数据泄露”)。 在评估适当的安全级别时,他们应适当考虑现有技术、实施成本、处理的性质、范围、背景和目的以及数据主体处理中涉及的风险。 双方应特别考虑采用加密或假名化,包括在传输过程中,只要可以通过这种方式实现处理目的。 在假名化的情况下,用于将个人数据归属于特定数据主体的附加信息应在可能的情况下由数据导出者或控制者独家控制。 在履行本款规定的义务时,数据进口方应至少实施附件二规定的技术和组织措施。 数据进口方应定期检查,以确保这些措施继续提供适当的安全级别。
  2. 数据导入方应仅在合同的实施、管理和监控严格必要的范围内向其人员授予对数据的访问权限。 它应确保被授权处理个人数据的人员已承诺保密或承担适当的法定保密义务。
  3. 如果数据导入方根据本条款处理的个人数据发生个人数据泄露事件,数据导入方应采取适当措施解决该违规行为,包括减轻其不利影响的措施。 数据输入者还应在知悉违规行为后立即通知数据输出者,并在适当和可行的情况下通知控制者。 此类通知应包含可以获取更多信息的联系点的详细信息、对违规性质的描述(在可能的情况下,包括相关的数据主体和个人数据记录的类别和大致数量)、其可能的后果以及为解决数据泄露而采取或提议的措施,包括减轻其可能的不利影响的措施。 在不可能同时提供所有信息的情况下,初始通知应包含当时可获得的信息,而进一步的信息应在获得后立即提供,不得无故拖延。
  4. 数据进口商应与数据出口商合作并协助数据出口商履行其在法规 (EU) 2016/679 下的义务,特别是通知其控制者,以便后者反过来通知主管监管机构和受影响的数据主体,考虑到处理的性质和数据导入者可获得的信息。

8.7 敏感数据

如果传输涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的个人数据、基因数据或生物识别数据,用于唯一识别自然人的目的,有关健康或个人性生活的数据,或性取向或与刑事定罪和犯罪有关的数据(以下简称“敏感数据”),数据导入者应应用附件 IB 中规定的具体限制和/或附加保障措施

8.8 继续传输

数据进口方只能按照数据出口方传达给数据进口方的控制者书面指示向第三方披露个人数据。 此外,数据只能披露给位于欧盟以外的第三方([3])(在与数据导入者相同的国家或在另一个第三国,以下简称“继续传输”)如果第三方在适当的模块下受或同意受这些条款的约束,或者如果:

  1. 继续转移是受益于根据涵盖继续转移的法规 (EU) 45/2016 第 679 条的充分性决定的国家;
  2. 第三方根据法规 (EU) 46/47 第 2016 或 679 条以其他方式确保适当的保障措施;
  3. 在特定的行政、监管或司法程序的背景下,为了确立、行使或捍卫法律主张,需要向前转移; 或者
  4. 为了保护数据主体或其他自然人的切身利益,必须进行转发。

任何向前传输都必须由数据导入方遵守这些条款下的所有其他保障措施,特别是目的限制。

8.9 文件和合规性

  1. 数据输入方应及时、充分地处理数据输出方或控制方就本条款下的处理提出的询问。
  2. 双方应能够证明遵守这些条款。 特别是,数据导入者应保留有关代表控制者进行的处理活动的适当文件。
  3. 数据输入者应向数据输出者提供所有必要的信息,以证明遵守这些条款中规定的义务,数据输出者应将其提供给控制者。
  4. 数据导入方应允许并协助数据导出方对本条款涵盖的处理活动进行审计,以合理的时间间隔或在有不合规迹象的情况下进行。 数据输出者要求对控制者的指示进行审计的情况同样适用。 在决定进行审计时,数据输出方可以考虑数据输入方持有的相关证明。
  5. 如果审计是根据控制者的指示进行的,数据输出者应将结果提供给控制者。
  6. 数据输出者可以选择自己进行审计或委托独立审计员进行审计。 审核可能包括对数据导入者的场所或物理设施的检查,并应在适当情况下在合理通知的情况下进行。
  7. 双方应根据要求向主管监管机构提供(b)和(c)段中提及的信息,包括任何审计结果。

条款9

使用子处理器

  1. 选项 1:事先特定授权 未经控制者事先特定书面授权,数据导入者不得将根据本条款代表数据导出者执行的任何处理活动分包给分处理者。 数据导入方应至少提交特定授权请求 [指定时间段] 在子处理者参与之前,以及使控制者能够决定授权所需的信息。 它应将此类约定通知数据导出者。 已获得控制者授权的分处理者列表可在附件 III 中找到。 双方应及时更新附件 III。 选项 2:一般书面授权 数据导入者拥有控制者的一般授权,可聘用商定列表中的子处理者。 数据导入者应以书面形式明确通知控制者通过添加或更换子处理者至少 [指定时间段] 提前,从而给控制者足够的时间,使其能够在子处理器参与之前反对此类更改。 数据导入者应向控制者提供必要的信息,以使控制者能够行使其反对权。 数据导入方应将分包处理者的参与情况告知数据导出方。
  2. 如果数据导入者聘请分处理者(代表控制者)执行特定处理活动,则应通过书面合同的方式进行,该合同实质上规定了与约束数据的相同的数据保护义务进口商根据这些条款,包括数据主体的第三方受益权。 ([4]) 双方同意,通过遵守本条款,数据导入方履行了第 8.8 条规定的义务。 数据导入者应确保分处理者遵守数据导入者根据这些条款应承担的义务。
  3. 数据输入方应根据数据输出方或控制方的要求提供此类分处理协议的副本和任何后续修订。 在保护商业机密或其他机密信息(包括个人数据)所必需的范围内,数据导入者可以在共享副本之前编辑协议文本。
  4. 数据进口方应对数据出口方履行其与数据进口方签订的合同项下的子处理方义务对数据出口方承担全部责任。 数据导入方应通知数据导出方子处理方未能履行其在该合同项下的义务。
  5. 数据导入方应与分处理方商定第三方受益人条款,根据该条款——如果数据导入方实际消失、在法律上不复存在或资不抵债——数据导出方有权终止分处理器合同并指示子处理器删除或返回个人数据。

条款10

数据主体权利

  1. 数据输入方应立即将其从数据主体收到的任何请求通知数据输出方,并在适当情况下通知控制方,除非获得控制方的授权,否则不得响应该请求。
  2. 数据输入方应酌情与数据输出方合作,协助控制方履行其义务,以回应数据主体根据法规 (EU) 2016/679 或法规 (EU) 2018/1725 行使其权利的请求,如适用。 在这方面,缔约方应在附件二中列出适当的技术和组织措施,同时考虑到提供援助的处理性质,以及所需援助的范围和程度。
  3. 在履行 (a) 和 (b) 段规定的义务时,数据输入者应遵守数据输出者传达的控制者的指示。

条款11

纠正

  1. 数据进口方应通过单独通知或在其网站上以透明且易于访问的格式告知数据主体有权处理投诉的联络点。 它应立即处理从数据主体收到的任何投诉。[选项:数据导入者同意数据主体也可以向独立机构提出投诉。ispute 解析体 ([5]),数据主体无需支付任何费用。 它应以 (a) 段规定的方式告知数据主体此类补救机制,并且他们不需要使用该机制,或在寻求补救时遵循特定顺序。]
  2. 如果有广告isp如果数据主体与一方之间就遵守这些条款的情况发生争执,该方应尽最大努力及时友好地解决问题。 双方应相互通报此类情况isp并在适当的情况下合作解决这些问题。
  3. 数据主体依据第三条规定行使第三方受益权的,数据导入方应当接受数据主体的以下决定:
    1. 根据第 13 条向其惯常居住地或工作地点所在成员国的监管机构或主管监管机构提出投诉;
    2. 参考disp向第 18 条含义内的主管法院提起诉讼。
  4. 双方接受数据主体可以由非营利机构、组织或协会根据法规 (EU) 80/1 第 2016(679) 条规定的条件代表。
  5. 数据导入方应遵守根据适用的欧盟或成员国法律具有约束力的决定。
  6. 数据导入方同意,数据主体的选择不会损害其依据适用法律寻求救济的实体和程序权利。

条款12

责任

  1. 每一方均应对另一方因违反本条款而给另一方造成的任何损害承担责任。
  2. 数据进口方或其子处理方因侵犯第三方受益权给数据主体造成的任何物质或非物质损害,数据进口方应对数据主体承担责任,数据主体有权获得赔偿根据这些条款。
  3. 尽管有 (b) 段的规定,数据输出者应对数据主体承担责任,并且数据主体有权就数据输出者或数据输入者(或其子处理者)的任何物质或非物质损害获得赔偿通过违反本条款下的第三方受益人权利导致数据主体。 这不影响数据导出者的责任,如果数据导出者是代表控制者行事的处理者,则不影响控制者根据条例 (EU) 2016/679 或条例 (EU) 2018/1725 的责任,视情况而定。
  4. 双方同意,如果数据输出方根据 (c) 款对数据输入方(或其分处理方)造成的损害承担责任,则有权向数据输入方追回与数据输入方相应的部分赔偿。数据进口商对损坏的责任。
  5. 如果不止一方对因违反这些条款而对数据主体造成的任何损害负责,则所有责任方应承担连带责任,并且数据主体有权对其中任何一方提起诉讼派对。
  6. 双方同意,如果一方根据(e)款承担责任,则有权向另一方追回与其损害责任相对应的部分赔偿。
  7. 数据导入方不得援引子处理方的行为来规避自己的责任。

条款13

监督

  1. [如果数据出口商成立于欧盟成员国:] 负责确保数据出口商遵守法规 (EU) 2016/679 关于数据传输的监管机构,如附件 IC 所示,应作为主管部门行事监督机构。

    [如果数据导出方未在欧盟成员国设立,但根据第 2016(679) 条属于第 (EU) 3/2 号法规适用的领土范围,并已根据第 27(1) 条指定了代表) (EU) 2016/679 条例:] 设立了条例 (EU) 27/1 第 2016(679) 条含义内的代表的成员国的监管机构,如附件 IC 所示,应采取行动作为主管监督机构。

    [如果数据导出方未在欧盟成员国设立,但根据第 2016(679) 条属于条例 (EU) 3/2 适用的领土范围,但无需根据第 27 条指定代表(EU) 2/2016 条例 (679):] 成员国之一的监管机构,其中数据主体的个人数据因向其提供商品或服务而被转移,或其行为如附件 IC 所示,受监控、位于的地方应充当主管监督机构。

  2. 数据导入方同意在任何旨在确保遵守这些条款的程序中服从主管监管机构的管辖并与之合作。 特别是,数据导入方同意回应查询、提交审计并遵守监管​​机构采取的措施,包括补救和补偿措施。 它应向监管机构提供已采取必要措施的书面确认。

第 III 部分 – 地方法律和公共当局访问时的义务

条款14

影响遵守条款的当地法律和惯例

    1. 双方保证,他们没有理由相信目的地第三国适用于数据进口者处理个人数据的法律和惯例,包括任何披露个人数据的要求或授权公共当局访问的措施,会妨碍数据进口者处理个人数据。数据导入者无法履行这些条款规定的义务。 这是基于这样的理解,即尊重基本权利和自由本质的法律和实践,并且不超出民主社会为保障《条例》第 23(1) 条所列目标之一所必需和相称的范围(欧盟)2016/679,与这些条款并不矛盾。
    2. 双方声明,在提供 (a) 段中的保证时,他们特别考虑了以下要素:
      1. 传输的具体情况,包括处理链的长度、涉及的参与者数量和使用的传输通道; 打算继续转移; 收件人的类型; 处理的目的; 传输的个人数据的类别和格式; 发生转移的经济部门; 传输数据的存储位置;
      2. 第三目的地国的法律和惯例(包括要求向公共当局披露数据或授权此类当局访问的法律和惯例)与传输的具体情况以及适用的限制和保障措施相关([6]);
      3. 为补充这些条款下的保障措施而实施的任何相关合同、技术或组织保障措施,包括在传输过程中采取的措施以及在目的地国家/地区处理个人数据时采取的措施。
    3. 数据导入方保证,在根据 (b) 段进行评估时,已尽最大努力向数据导出方提供相关信息,并同意将继续与数据导出方合作以确保遵守这些条款。
    4. 双方同意根据(b)款记录评估,并应要求将其提供给主管监管机构。
    5. 数据进口方同意,如果在同意这些条款后且在合同期限内,数据进口方有理由相信自己正在或已经受到不符合第 XNUMX 款要求的法律或惯例的约束,则立即通知数据出口方(a),包括第三国法律或措施(例如披露请求)发生变化,表明此类法律在实践中的应用不符合(a)款的要求。 数据导出方应将通知转发给控制者。
    6. 在根据第 (e) 款发出通知后,或者如果数据导出方有理由相信数据导入方无法再履行本条款规定的义务,数据导出方应立即确定适当的措施(例如技术或组织措施,以确保数据导出者和/或数据导入者采取的措施来解决这种情况,如果适当的话,可与控制者协商。 如果数据出口方认为无法确保数据传输的适当保障,或者控制者或主管监管机构指示这样做,则应暂停数据传输。 在这种情况下,数据导出者有权终止合同,只要涉及根据这些条款处理个人数据。 如果合同涉及两个以上缔约方,则数据导出方只能针对相关缔约方行使终止权,除非双方另有约定。 如果合同根据本条终止,则适用第 16(d) 和 (e) 条。

条款15

公共当局访问时数据导入者的义务

15.1 通知

    1. 如果出现以下情况,数据导入方同意立即通知数据导出方,并在可能的情况下通知数据主体(如有必要,在数据导出方的帮助下):
      1. 根据目的地国家/地区的法律,从包括司法当局在内的公共机构收到具有法律约束力的请求,要求披露根据这些条款转移的个人数据; 此类通知应包括有关所请求的个人数据、请求当局、请求的法律依据和提供的响应的信息; 或者
      2. 了解公共机构根据目的地国家/地区的法律直接访问根据这些条款传输的个人数据; 该通知应包括进口商可获得的所有信息。数据出口商应将通知转发给控制者。
        • 如果目的地国法律禁止数据输入方通知数据输出方和/或数据主体,数据输入方同意尽最大努力获得对禁令的放弃,以尽可能多地进行沟通信息尽可能,尽快。 数据导入者同意记录其最大努力,以便能够根据数据导出者的要求展示它们。
        • 在目的地国家/地区法律允许的情况下,数据导入方同意在合同期限内定期向数据导出方提供有关收到的请求的尽可能多的相关信息(特别是请求的数量、请求的数据类型、请求机构、请求是否受到质疑以及 outco我的此类挑战等)。 数据输出方应将信息转发给控制者。
        • 数据导入方同意在合同期限内根据 (a) 至 (c) 段保存信息,并应要求将其提供给主管监管机构。
        • (a) 至 (c) 段不影响数据导入方根据第 14(e) 条和第 16 条在无法遵守这些条款时及时通知数据导出方的义务。

      15.2 合法性审查和数据最小化

      1. 数据进口商同意审查披露请求的合法性,特别是它是否仍在授予请求公共当局的权力范围内,并在经过仔细评估后得出结论认为有合理理由认为有合理理由认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则,该请求是非法的。 数据导入方应当在同等条件下寻求申诉的可能性。 在对请求提出异议时,数据输入者应寻求临时措施,以中止请求的效果,直到主管司法当局对其是非曲直作出决定。 在适用的程序规则要求这样做之前,它不得披露所要求的个人数据。 这些要求不影响数据导入者在第 14(e) 条下的义务。
      2. 数据进口方同意记录其法律评估以及对披露请求的任何质疑,并在目的地国家/地区法律允许的范围内向数据出口方提供该文件。 它还应根据要求向主管监督机构提供。 数据导出者应向控制者提供评估。
      3. 数据导入方同意在响应披露请求时,基于合理的理由,提供允许的最小信息量。erp重述请求。

      第四部分——最后条款

      条款16

      不遵守条款和终止

      1. 如果数据输入方无论出于何种原因无法遵守本条款,数据输入方应及时通知数据输出方。
      2. 如果数据输入方违反本条款或无法遵守本条款,数据输出方应暂停向数据输入方传输个人数据,直至再次确保合规或终止合同。 这不影响第 14(f) 条。
      3. 数据输出者有权终止合同,只要它涉及根据这些条款处理个人数据,其中:
        1. 数据输出方已根据 (b) 段暂停将个人数据传输给数据输入方,并且在合理时间内以及无论如何在暂停后一个月内未恢复对这些条款的遵守;
        2. 数据导入者严重或持续违反这些条款; 或者
        3. 数据进口方未能遵守主管法院或监管机构就其在这些条款下的义务做出的具有约束力的决定。在这些情况下,数据进口方应将此类不合规情况通知主管监管机构和控制者。 如果合同涉及两个以上缔约方,则数据导出方只能针对相关缔约方行使终止权,除非双方另有约定。
      4. 根据 (c) 款在合同终止之前转移的个人数据应根据数据导出者的选择立即返还给数据导出者或全部删除。 这同样适用于数据的任何副本。 数据导入方应向数据导出方证明数据已删除。 在数据被删除或返回之前,数据导入者应继续确保遵守这些条款。 如果适用于数据导入方的当地法律禁止返还或删除所传输的个人数据,则数据导入方保证将继续确保遵守这些条款,并且仅在以下范围内处理数据:根据当地法律的要求。
      5. 在以下情况下,任何一方均可撤销其受这些条款约束的协议:(i) 欧盟委员会根据涵盖这些条款适用的个人数据传输的法规 (EU) 45/3 第 2016(679) 条做出决定; (ii) (EU) 2016/679 条例成为个人数据传输目的地国家法律框架的一部分。 这不影响 (EU) 2016/679 法规中适用于相关处理的其他义务。

      条款17

      准据法

      [选项 1:这些条款应受欧盟成员国之一的法律管辖,前提是该法律允许第三方受益人权利。 双方同意,这应是_______ (指定成员国)。]

      [选项 2:这些条款应受数据导出者所在欧盟成员国的法律管辖。 如果此类法律不允许第三方受益权,则应受允许第三方受益权的另一个欧盟成员国的法律管辖。 双方同意,这应是_______ (指定成员国)。]

      条款18

      选择法院和管辖权

      1. 任何 disp由这些条款引起的纠纷应由欧盟成员国的法院解决。
      2. 双方同意,这些法院应为 _____ (指定成员国).
      3. 数据主体还可以向其惯常居住地所在成员国的法院提起针对数据输出者和/或数据输入者的法律诉讼。
      4. 双方同意接受此类法院的管辖。

      附录

      注释:

      必须能够清楚地区分适用于每次传输或传输类别的信息,并在这方面确定缔约方作为数据导出方和/或数据导入方各自的角色。 这不一定需要为每一项转让/转让类别和/或合同关系填写和签署单独的附录,这种透明度可以通过一个附录来实现。 然而,如果有必要确保足够清晰,则应使用单独的附录。

      附件I

      A. 缔约方名单

      数据导出者:[数据导出者及其在欧盟的数据保护官和/或代表(如适用)的身份和联系方式]

      • 姓名: …………………………………

        地址: ………………………………。

        联系人姓名、职务及联系方式:…………。
        ............................................................ ..

        与根据这些条款传输的数据相关的活动:
        ........................。
        ........................。

        签名和日期:……………………

        角色(控制器/处理器):

      • ..........

      数据导入者:[数据导入者的身份和联系方式,包括负责数据保护的任何联系人]

      • 姓名: ………………………………。

        地址: ……………………………..

        联系人姓名、职务及联系方式:…………。
        ……………………………………………………

        与根据这些条款传输的数据相关的活动:
        ........................。
        ........................。

        签名和日期:……………………

        角色(控制器/处理器):

      • .............

      B. 转让说明

      个人数据被转移的数据主体类别
      ...
      传输的个人数据类别
      ...
      传输的敏感数据(如果适用)和应用的限制或保障措施充分考虑到数据的性质和所涉及的风险,例如严格的目的限制、访问限制(包括仅接受过专门培训的工作人员的访问)、保留数据访问记录、继续传输限制或其他安全措施。
      ...
      传输频率(例如,数据是一次性传输还是连续传输)。
      ...
      处理的性质
      ...
      数据传输和进一步处理的目的
      ...
      个人数据将被保留的期限,或者,如果不可能,用于确定该期限的标准
      ...
      对于传输至(子)处理者,还需指定主题 matt呃,处理的性质和持续时间
      ...

      C. 主管监督机构

      根据第 13 条确定主管监管机构
      ...

      附件二

      技术和组织措施,包括确保数据安全的技术和组织措施

      注释:

      技术和组织措施必须以特定(而非通用)术语进行描述。 另请参见附录第一页的一般性评论,特别是需要明确指出哪些措施适用于每项转让/一组转让。

      描述数据导入者(包括任何相关认证)实施的技术和组织措施,以确保适当的安全级别,同时考虑到处理的性质、范围、上下文和目的,以及权利的风险和自然人的自由。

      [可能采取的措施示例:

      个人数据的假名化和加密措施

      确保处理系统和服务持续保密性、完整性、可用性和弹性的措施

      确保在发生物理或技术事件时能够及时恢复个人数据的可用性和访问权限的措施

      定期测试、评估和评估技术和组织措施有效性的流程,以确保处理的安全性

      用户身份识别和授权措施

      传输过程中数据保护措施

      存储期间数据保护措施

      确保个人数据处理地点的物理安全的措施

      确保事件记录的措施

      确保系统配置的措施,包括默认配置

      内部IT和IT安全治理和管理措施

      流程和产品的认证/保证措施

      确保数据最小化的措施

      确保数据质量的措施

      确保有限数据保留的措施

      确保问责的措施

      允许数据可移植并确保删除的措施]

      对于传输到(子)处理器,还 描述(子)处理者要采取的具体技术和组织措施,以便能够向控制者提供帮助,以及从处理者到子处理者的传输,以及向数据导出者提供帮助

      ...

      附件三

      分处理者列表

      注释:

      如果分处理者获得特定授权(第 9(a) 条,选项 1),则必须填写本附件。

      控制器已授权使用以下子处理器:

      • 姓名: ……………。
        地址: …………..
        联系人姓名、职位和联系方式:...
        处理描述(包括在授权多个子处理者的情况下明确的责任划分):……………………..
      • .....................。

      [1] 如果数据导出方是受 (EU) 2016/679 条例约束的处理者,代表作为控制者的欧盟机构或团体,则在聘请不受 (EU) 2016/679 条例约束的另一处理者(子处理)时,应依赖这些条款29 还确保遵守欧洲议会和理事会 4 年 2018 月 1725 日关于保护自然人的欧盟机构、机构处理个人数据的条例 (EU) 23/2018 第 45(2001) 条、办事处和机构以及此类数据的自由流动,并废除第 1247/2002 号法规 (EC) 和第 XNUMX/XNUMX/EC 号决定(OJ L 295,21.11.2018 年 39 月 XNUMX 日,第 XNUMX 页XNUMX),只要这些条款与控制者和处理者之间根据法规 (EU) 29/3 第 2018(1725) 条规定的合同或其他法律行为中规定的数据保护义务保持一致。 尤其是控制者和处理者依赖第 2021/915 号决定中包含的标准合同条款的情况。

      [2] 请参阅法规 (EU) 28/4 第 2016(679) 条,如果控制者是欧盟机构或团体,请参阅法规 (EU) 29/4 第 2018(1725) 条。

      [3]  《欧洲经济区协议》(EEA 协议)规定将欧盟内部市场扩展到冰岛、列支敦士登和挪威这三个欧洲经济区国家。 欧盟数据保护法sla包括法规 (EU) 2016/679 在内的 EEA 协议涵盖并已纳入其附件 XI。 因此,数据导入方向位于 EEA 的第三方披露的任何信息均不符合这些条款中的继续传输资格。

      [4] 根据第 7 条,在相应模块下加入这些条款的子处理器可以满足此要求。

      [5] 数据导入者可以提供独立的disp仅当仲裁机构设立在已批准《纽约仲裁裁决执行公约》的国家/地区时,才能通过仲裁机构解决。

      [6] 至于此类法律和实践对遵守这些条款的影响,可以考虑不同的要素作为总体评估的一部分。 这些要素可能包括公共当局要求披露的先前实例的相关且记录在案的实践经验,或没有此类要求的情况,涵盖足够代表性的时间范围。 这尤其指根据尽职调查持续起草并经高级管理层认证的内部记录或其他文件,前提是这些信息可以合法地与第三方共享。 如果依靠这种实践经验得出结论,数据进口者不会被阻止遵守这些条款,则需要有其他相关的客观要素的支持,并且双方应仔细考虑这些要素是否一起包含足够的内容就其可靠性和代表性而言,权重可以支持这一结论。 特别是,双方必须考虑其实际经验是否与公开的或以其他方式可获得的关于同一部门内是否存在请求和/或法律在实践中的适用的可靠信息相证实且不矛盾,例如判例法和独立监督机构的报告。