标准合同条款
第 I 节
第 1 條
目的和范围
- 这些标准合同条款的目的是确保在向第三国传输个人数据时,遵守欧洲议会和欧盟理事会 2016 年 4 月 27 日关于在处理个人数据时保护自然人以及个人数据自由流动的第 2016/679 号条例(欧盟)(《通用数据保护条例》)(1) 的要求。
- 双方:
(i) 附件 I.A 所列轉移個人資料的自然人或法人、公共機關、機構或其他團體 (下稱「實體」)(下稱「資料輸出者」),及
直接或间接通过附件 I.A 所列的也是本条款缔约方的另一实体从数据输出方接收个人数据的第三国实体(以下称 “数据输入方”)。
同意这些标准合同条款(以下简称 “条款”)。
第 2 條
条款的效力和不变性
- 本条款根据(欧盟)第 2016/679 号法规第 46(1)条和第 46(2)(c)条规定了适当的保障措施,包括可强制执行的数据主体权利和有效的法律补救措施,并根据(欧盟)第 2016/679 号法规第 28(7)条规定了从控制者向处理者和/或处理者向处理者的数据传输的标准合同条款,但不得对其进行修改,选择适当的模块或添加或更新附录中的信息除外。
这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同和/或增加其他条款或额外的保障措施,只要它们不直接或间接与这些条款相抵触或损害数据主体的基本权利或自由。 - 本条款不影响数据输出方根据(欧盟)2016/679 号法规应承担的义务。
第 2 條
条款的效力和不变性
- 本条款根据(欧盟)第 2016/679 号法规第 46(1)条和第 46(2)(c)条规定了适当的保障措施,包括可强制执行的数据主体权利和有效的法律补救措施,并根据(欧盟)第 2016/679 号法规第 28(7)条规定了从控制者向处理者和/或处理者向处理者的数据传输的标准合同条款,但不得对其进行修改,选择适当的模块或添加或更新附录中的信息除外。
这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同和/或增加其他条款或额外的保障措施,只要它们不直接或间接与这些条款相抵触或损害数据主体的基本权利或自由。 - 本条款不影响数据输出方根据(欧盟)2016/679 号法规应承担的义务。
第 3 條
第三方受益人
- 数据主体可作为第三方受益人对数据输出方和/或数据输入方援引并执行本条款,但以下情况除外:
(i) 第 1 條、第 2 條、第 3 條、第 6 條及第 7 條;
(ii) 第 8 條 – 單元一:第 8.5(e)及 8.9(b)條; 單元二:第 8.1(b)、 8.9(a)、 (c)、 (d)及 (e)條; 單元三:模块三:第 8.1(a)、(c)和(d)条以及第 8.9(a)、(c)、(d)、(e)、(f)和(g)条; 模块四:第 8.1(b)条和第 8.3(b)条;
(iii) 第 9 條 – 單元二:第 9(a)、 (c)、 (d)及 (e)條、
(c),
(d)及
第 9(a)、 (c)、 (d)及 (e)條第 9(a)、 (c)、 (d)及 (e)條
(c),
(d)及
(e);
(iv) 第 12 條 – 單元一:第 12(a)及 (d)條; 單元二及三:第 12(a)、(d)和(f)条;
(v) 第 13 条;
(vi) 第 15.1(c)、(d)和(e)条;
(vii) 第 16(e)條;
(viii) 第 18 條 – 單元一、二及三:第 18(a)及(b)條;單元四:第 18 条
第 4 條
口译
- 本条款中使用的术语如在(欧盟)2016/679 号条例中有所定义,则这些术语应具有与该条例中相同的含义。
- 本条款应根据(欧盟)2016/679 号条例的规定进行解读和解释。
- 本条款的解释不得与法规 (EU) 2016/679 中规定的权利和义务相冲突。
第 5 條
层次结构
如果本条款与双方在商定本条款时或其后签订的相关协议的规定相抵触,应以本条款为准。
第 6 條
转让说明
转移的详细情况,特别是转移的个人资料类别和目的,见附件 I.B。
第 7 条 – 可选
对接条款
- 非本条款缔约方的实体,经缔约方同意,可随时作为数据出口方或数据进口方,通过填写附录和签署附件 I.A 加入本条款。
- 一旦完成附录并签署附件 I.A,加入实体将成为本条款的缔约方,并根据其在附件 I.A 中的指定享有数据出口方或数据进口方的权利和义务。
- 加入实体在成为缔约方之前不享有本条款规定的权利,也不承担本条款规定的义务。
第 II 节–各方的义务
條例草案第8條
数据保护保障措施
数据出口方保证已尽合理努力确定数据进口方通过实施适当的技术和组织措施能够履行本条款规定的义务。
8.1 目的限制
如附件 I.B 所述,数据输入方仅可为转让的特定目的处理个人数据:
(i) 在事先征得数据当事人同意的情况下;
(ii) 在具体行政、监管或司法程序中,为确立、行使或捍卫法律主张所必需;或
(iii) 为保护数据当事人或其他自然人的重要利益所必需。
8.2 透明度
- 为使数据主体能够有效行使第 10 条规定的权利,数据输入方应直接或通过数据输出方通知数据主体:
(i) 其身份和联系方式;
(ii) 处理的个人数据类别;
(iii) 获得本条款副本的权利;
(iv) 如打算将个人资料转交给任何第三方,则应说明接收方或接收方类别(以提供有意义的信息为目的,视情况而定)、转交给第三方的目的以及根据第 8.7 条规定转交给第三方的理由。
在后一种情况下,数据输入者应尽可能公开该信息。
在保护商业秘密或其他机密信息(包括个人数据)所需的范围内,双方可在共享附录副本之前删节部分文本,但在否则数据主体将无法理解其内容或行使其权利的情况下,应提供有意义的摘要。
如資料當事人提出要求,締約雙方應盡可能在不透露經編輯的資料的情況下,向資料當事人提供編輯的理由。
8.3 准确性和数据最小化
- 各方应确保个人数据的准确性,并在必要时不断更新。
数据输入方应采取一切合理措施,确保在考虑到处理目的的情况下,毫不迟延地删除或更正不准确的个人数据。 - 如果一方意识到其传输或接收的个人数据不准确或已经过时,应及时通知另一方。
- 数据输入者应确保个人数据的充分性、相关性并仅限于与处理目的相关的必要内容。
8.4 存储限制
数据导入者保留个人数据的时间不得超过处理目的所需的时间。
数据导入者应采取适当的技术或组织措施,确保遵守这一义务,包括在保留期结束时删除或匿名化 (2) 数据和所有备份。
8.5 处理的安全性
- 数据输入方以及数据输出方在数据传输过程中应采取适当的技术和组织措施,以确保个人数据的安全,包括防止因违反安全规定而导致意外或非法破坏、丢失、篡改、未经授权披露或访问(下称 “个人数据泄露”)。
在评估适当的安全级别时,双方应适当考虑技术水平、实施成本、处理的性质、范围、 背景和目的以及处理过程中对数据当事人造成的风险。
双方应特别考虑采用加密或假名化的方式,包括在传输过程中,如果这样做可以达到处理的目的。 - 双方已商定附件 II 所列的技术和组织措施。
数据输入者应进行定期检查,以确保这些措施继续提供适当的安全水平。 - 数据输入者应确保被授权处理个人数据的人员已承诺保密或承担适当的法定保密义务。
- 如資料輸入者根據本細則處理的個人資料外洩,資料輸入者應採取適當措施處理個人資料外洩事故,包括採取措施減輕其可能造成的不利影響。
- 如果个人数据泄露可能导致自然人的权利和自由受到威胁,数据输入方应根据第 13 条的规定及时通知数据输出方和主管监管机构。
通知内容应包括
i) 对违规性质的描述(在可能的情况下,包括相关数据主体和个人数据记录的类别和大致数量)、
可能造成的后果
已采取或拟采取的处理违规行为的措施,以及
iv) 可以获得更多信息的联络人的详细信息。
如果数据输入者不可能同时提供所有信息,则可分阶段提供,不得无故拖延。 - 如個人資料外洩可能對自然人的權利和自由構成高風險,資料輸入 者亦應在無不當延誤的情況下,把個人資料外洩及其性質通知有關的 資料當事人,如有需要,應與資料輸出者合作,連同第(e)段第 ii) 至 iv) 點所述的資訊,除非資料輸入者已採取措施大幅減低對自然人的權利或自 由構成的風險,或通知會涉及不相稱的努力。
在后一种情况下,数据导入者应发布公告或采取类似措施向公众通报个人数据外泄事件。 - 数据导入者应记录与个人数据泄露有关的所有相关事实,包括其影响和所采取的任何补救措施,并保存相关记录。
8.6 敏感数据
如果转让涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个人数据、遗传数据或用于唯一识别自然人的生物特征数据、有关健康或个人性生活或性取向的数据,或与刑事定罪或犯罪有关的数据(以下简称 “敏感数据”),数据进口商应根据数据的具体性质和所涉及的风险适用特定的限制和/或额外的保障措施。
这可能包括限制获准访问个人数据的人员、额外的安全措施(如化名)和/或有关进一步披露的额外限制。
8.7 向前转让
数据导入方不得向欧盟 (3) 以外的第三方(与数据导入方位于同一国家或另一第三国,下称 “前向转移”)披露个人数据,除非该第三方根据相应模块受本条款约束或同意受本条款约束。
否则,数据输入方只有在以下情况下才可进行转发:
(i) 转至受益于根据(欧盟)第 2016/679 号条例第 45 条作出的适当性决定的国家,该决定涵盖了转出转让;
(ii) 第三方根据(欧盟)第 2016/679 号法规第 46 或 47 条,以其他方式确保对相关处理采取适当的保障措施;
(iii) 第三方与数据输入方签订具有约束力的文书,确保数据保护水平与本条款规定的保护水平相同,且数据输入方向数据输出方提供一份这些保障措施的副本;
(iv) 在具体的行政、监管或司法程序中,有必要建立、行使或捍卫法律诉求;
(v) 为保护数据当事人或其他自然人的重要利益所必需;或
(vi) 在其他条件均不适用的情况下,数据输入方在告知数据主体转移的目的、接收方的身份以及因缺乏适当的数据保护保障措施而可能对其造成的风险后,已获得数据主体在特定情况下对继续转移的明确同意。
在这种情况下,数据输入者应通知数据输出者,并应后者的要求向其转交一份向数据当事人提供的信息副本。
数据输入方必须遵守本条款规定的所有其他保障措施,尤其是目的限制。
8.8 在数据输入者授权下的处理
数据输入者应确保在其授权下行事的任何人(包括处理者)仅按其指示处理数据。
8.9 文件编制与合规
- 各方应能证明其遵守了这些条款规定的义务。
特别是,数据输入方应保存由其负责的处理活动的适当文件。 - 数据导入者应按要求向主管监督机构提供此类文件。
第 9 條 [not applicable]
條例草案第10條
资料当事人的权利
- 資料輸入者(如適用)須在資料輸出者的協助下,處理資料當事人就其個人資料的處理及根據本條款行使其權利而提出的任何查詢及要求,不得無故延遲,最遲須在收到查詢或要求後一個月內處理。
(10)
数据输入者应采取适当措施,为上述查询、要求和数据主体权利的行使提供便利。
向資料當事人提供的任何資訊均應採用清晰和淺白的語言,以易懂和易於獲取的形式提供。 - 特别是,在数据主体提出要求时,数据导入者应免费: 1:
(i) 向資料當事人確認是否正在處理關於他/她的個人資 料,如屬此情況,提供一份與他/她有關的資料的副 本及附件 I 所載的資訊;如個人資料已經或將會被 向前轉移,提供關於個人資料已被或將會被向前轉移予 的接收者或接收者類別的資訊(視乎何者合適,以期 提供有意義的資訊)、該等向前轉移的目的及根據第 8.7 條的理由;以及提供關於根據第 12(c)(i)條向監督機構提出申訴的權利的資訊; (ii) 向資料當事人確認是否正在處理關於他/她的個人資 料。7 条的规定,提供有关向监管机构提出投诉的权利的信息;
(ii) 更正与数据当事人有关的不准确或不完整的数据;
(iii) 如果数据处理正在或已经违反本条款中任何一条确保第三方受益人权利的规定,或如果数据当事人撤回作为数据处理依据的同意,则删除与数据当事人有关的个人数据。
在这种情况下,数据输入方应在必要时与数据输出方合作:
(i) 向数据当事人告知所设想的自动决定、所设想的后果和所涉及的逻辑;以及 (ii) 向数据当事人告知所设想的自动决定、所设想的后果和所涉及的逻辑。
(ii) 实施适当的保障措施,至少应使数据当事人能够对决定提出异议、表达自己的 观点并获得人工审查。
條例草案第11條
补救
- 数据导入者应以透明和易于获取的方式,通过个别通知或在其网站上告知数据主体一个有权处理投诉的联络点。
数据导入者应及时处理从数据主体收到的任何投诉。
[方案:数据导入者同意数据主体也可向独立的争议解决机构(11)提出投诉,数据主体无需支付任何 费用。它应按第(a)款规定的方式告知数据主体该补救机制,并告知他们不必使用该机 制,也不必按特定顺序寻求补救。] - 如果数据主体与其中一方在遵守本条款方面发生争议,该方应尽最大努力及时友好地解 决问题。
双方应随时相互通报此类争议,并在适当情况下合作解决争议。 - 当数据主体根据第 3 条援引第三方受益权时,数据导入者应接受数据主体的以下决定
(i) 向其惯常居住地或工作地所在成员国的监管机构或第 13 条规定的主管监 管机构提出申诉;
(ii) 将争议提交第 18 条所指的主管法院。
- 双方同意,根据第 2016/679 号法规(欧盟)第 80(1)条规定的条件,数据主体可由非营利机构、组织或协会代表。
- 数据导入者应遵守根据适用的欧盟或成员国法律具有约束力的决定。
- 数据导入者同意,数据主体做出的选择不会损害其根据适用法律寻求补救的实质性和程序性权利。
條例草案第12條
责任
- 每一方应对因违反这些条款而给另一方/各实体造成的任何损失负责。
- 对于因违反本条款规定的第三方受益人权利而给数据主体造成的任何实质性或非实质性损害,各方均应向数据主体承担赔偿责任,且数据主体有权获得赔偿。
这不影响数据出口方根据(欧盟)2016/679 号法规应承担的责任。 - 如果因违反这些条款而对数据当事人造成的任何损害由多于一方负责,则所有责任方均应承担连带责任,且数据当事人有权向法院起诉其中任何一方。
- 双方同意,如果一方根据第(c)款的规定被认定负有责任,则有权向另一方/其余各 方索回与其对损害所负责任相应的那部分赔偿金。
- 数据导入者不得援引处理者或子处理者的行为来规避自己的责任。
條例草案第13條
监督
- [Where the data exporter is established in an EU Member State:] 如附件 I.C 所示,负责确保数据出口方在数据传输方面遵守第 (EU) 2016/679 号条例的监管机构应作为主管监管机构行事。
[如果数据出口方未在欧盟成员国设立,但根据(欧盟)2016/679 号条例第 3(2)条属于该条例的领土适用范围,并已根据(欧盟)2016/679 号条例第 27(1)条任命了一名代表:](EU) 2016/679 号条例第 27(1)条意义上的代表所在成员国的监管机构(如附件 I.C 所示)应作为主管监管机构行事。
[如果数据出口商未在欧盟成员国设立,但根据(欧盟)2016/679 号条例第 3(2)条属于该条例的领土适用范围,则无需根据(欧盟)2016/679 号条例第 27(2)条指定代表:]如附件 I.C 所示,其个人数据根据本条款被转移以向其提供商品或服务或其行为受到监控的数据主体所在的成员国之一的监管机构应作为主管监管机构。 - 数据输入方同意在任何旨在确保遵守本条款的程序中接受主管监管机构的管辖并与之合作。
特别是,数据导入者同意回应查询、接受审计并遵守监管机构采取的措施,包括补救和补偿措施。
它应向监管机构提供已采取必要行动的书面确认。
第 III 部分–地方法律和公共当局进入时的义务
條例草案第14條
影响遵守条款的当地法律和惯例
- 双方保证没有理由认为,目的地第三国适用于数据输入方处理个人数据的法律和惯例,包括任何披露个人数据的要求或授权公共当局查阅的措施,会妨碍数据输入方履行本条款规定的义务。
这是基于这样一种理解,即尊重基本权利和自由的本质,且不超出民主社会为保障第 2016/679 号法规(欧盟)第 23(1)条所列目标之一所必需且相称的法律和惯例,与本条款并不矛盾。 - 双方声明,在提供第(a)段中的保证时,他们特别适当考虑了以下因素:
(i) 转移的具体情况,包括处理链的长度、涉及的行为者的数量和使用的传输渠 道;打算进行的后续转移;接收者的类型;处理的目的;被转移的个人数据的 类别和格式;发生转移的经济部门;被转移数据的存储地点;
(ii) 目的地第三国的法律和惯例–包括要求向公共当局披露数据或授权公共当 局查阅数据的法律和惯例–与转让的具体情况相关,以及适用的限制和保 障措施(12);
(iii) 为补充本条款规定的保障措施而采取的任何相关合同、技术或组织保障措施,包括在传输过程中以及在目的地国处理个人数据时采取的措施。
[模块三:数据输出者应将通知转发给控制者]。
條例草案第15條
在公共机构访问时数据输入者的义务
15.1 通知
- 数据导入者同意在出现以下情况时立即通知数据导出者,并在可能的情况下通知数据主体(如有必要,在数据导出者的帮助下): 1:
收到公共机构(包括司法机构)根据目的地国法律提出的具有法律约束力的请求,要求披露根据本条款转让的个人数据;此类通知应包括有关请求的个人数据、请求机构、请求的法律依据以及所提供答复的信息;或
了解到公共机构根据目的地国法律直接获取根据本条款转让的个人数据;此类通知应包括进口商可获得的所有信息。
[模块三:数据输出者应将通知转发给控制者]。
数据导入者同意将其最大努力记录在案,以便在数据导出者提出要求时加以证明。
15.2 审查合法性和数据最小化
- 数据导入者同意审查披露请求的合法性,特别是它是否仍在授予提出请求的公共当局的权力范围之内,并在仔细评估后得出结论,认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则,有合理的理由认为该请求不合法时,对该请求提出质疑。
数据进口方应在同等条件下寻求上诉的可能性。
在对请求提出质疑时,数据进口方应寻求临时措施,以在主管司法当局就请求的是非曲直作出裁决之前,暂缓该请求的效力。
在适用的程序规则要求披露之前,不得披露所要求的个人数据。
这些要求不影响第 14(e)条规定的数据输入者的义务。 - 数据进口商同意将其法律评估和对披露请求的任何质疑记录在案,并在目的地国法律允许的范围内,将文件提供给数据出口商。
还应根据要求向主管监督机构提供。 - 数据导入者同意在回应披露请求时,根据对请求的合理解释,提供允许的最低信息量。
第 IV 节 – 最后条款
條例草案第16條
不遵守条款和终止合同
- 如果数据输入方因任何原因无法遵守这些条款,应立即通知数据输出方。
- 如果数据输入方违反本条款或无法遵守本条款,数据输出方应暂停向数据输入方传输个人数据,直至再次确保遵守本条款或终止合同。
这不影响第 14(f)条的规定。 - 在下列情况下,数据输出方有权终止合同,只要合同涉及本条款规定的个人数据处理:
(i) 資料輸出方已根據(b)段暫停向資料輸入方轉移個人資料,而在 合理時間內(無論如何在暫停轉移後一個月內)沒有恢復遵守本條 款
資料輸入者嚴重或持續違反本條款;或
(iii) 数据输入方未能遵守主管法院或监管机构就本条款规定的义务做出的具有约束力的决定。
在这种情况下,数据出口方应向主管监督机构通报此类违规行为。
如果合同涉及两方以上,数据输出方只能对相关方行使终止权,除非双方另有约定。 - 根据第(c)款在合同终止前已转让的个人数据,应由数据输出方选择立即归还给数据输出方或全部删除。
这同样适用于任何数据副本。
数据输入方应向数据输出方证明数据已被删除。
在数据删除或归还之前,数据导入方应继续确保遵守本条款。
如果适用于数据导入方的当地法律禁止退回或删除所转移的个人数据,数据导入方保证将继续确保遵守本条款,并仅在当地法律要求的范围内处理数据,且处理时间不得超过当地法律要求的期限。 - 在以下情况下,任何一方均可撤销其受本条款约束的协议
(i) 欧盟委员会根据 (EU) 2016/679 号法规第 45(3)条通过一项决定,涉及本条款适用的个人数据传输;或
(ii) (EU) 2016/679 号条例成为个人数据传输目的地国家法律框架的一部分。
这并不影响根据(欧盟)2016/679 号条例适用于相关处理的其他义务。
條例草案第17條
准据法
方案 1:本条款应受欧盟成员国之一的法律管辖,条件是该法律允许第三方受益权。
双方同意以德国法律为准。
條例草案第18條
诉讼地和管辖权的选择
- 因本条款产生的任何争议应由欧盟成员国法院解决。
- 双方同意这些法院应为德国法院。
- 数据当事人还可在其惯常居住地所在的成员国法院对数据输出方和/或数据输入方提起法律诉讼。
- 双方同意接受这些法院的管辖。
(1) 如果数据输出者是受(EU)2016/679号条例约束的处理者,代表作为控制者的欧盟机构或团体行事,则在雇用不受(EU)2016/679号条例约束的另一处理者(子处理)时,依赖本条款还可确保遵守欧洲议会和欧盟理事会2018年10月23日关于在欧盟机构处理个人数据方面保护自然人的(EU)2018/1725号条例第29(4)条、机构、办事处和代理机构处理个人数据时对自然人的保护以及此类数据的自由流动,并废除第 45/2001 号条例 (EC) 和第 1247/2002/EC 号决定 (OJ L 295, 21. 11.2018, p. 39)11.2018,第 39 页),只要这些条款与控制者和处理者之间根据第 (EU) 2018/1725 号法规第 29(3)条签订的合同或其他法律行为中规定的数据保护义务相一致。
当控制者和处理者依赖于第 2021/915 号决定中的标准合同条款时,情况尤其如此。
(2) 这就要求根据(欧盟)2016/679 号条例第 26 条的规定,将数据匿名化,使个人的身份不再被任何人识别,并且这一过程是不可逆转的。
(3) 《欧洲经济区协定》(《欧洲经济区协定》)规定将欧盟内部市场扩展至三个欧洲经济区国家冰岛、列支敦士登和挪威。
欧盟数据保护立法,包括第(EU)2016/679 号条例,已被《欧洲经济区协定》涵盖并纳入其附件十一。
因此,就本条款而言,数据进口商向位于欧洲经济区的第三方进行的任何披露均不属于转发。
(4) 《欧洲经济区协定》(《欧经区协定》)规定将欧盟内部市场扩展至冰岛、列支敦士登和挪威三个欧经区国家。
欧盟数据保护立法,包括第(EU)2016/679 号条例,已纳入《欧洲经济区协定》附件十一。
因此,就本条款而言,数据进口商向位于欧洲经济区的第三方进行的任何披露均不属于转发。
(5) 见第(EU)2016/679 号条例第 28(4)条,如果控制者是欧盟机构或团体,则见第(EU)2018/1725 号条例第 29(4)条。
(6) 《欧洲经济区协定》(《欧洲经济区协定》)规定将欧盟内部市场扩展至三个欧洲经济区国家冰岛、列支敦士登和挪威。
欧盟数据保护立法,包括第(EU)2016/679 号条例,已纳入《欧洲经济区协定》附件十一。
因此,就本条款而言,数据进口商向位于欧洲经济区的第三方进行的任何披露均不属于转发转让。
(7) 这包括转移和进一步处理是否涉及揭示种族或民族血统、政治观点、宗教或哲学信仰、或工会会员身份的个人数据、用于唯一识别自然人的基因数据或生物特征数据、有关健康或个人性生活或性取向的数据、或与刑事定罪或犯罪有关的数据。
(8) 子处理者可根据第 7 条在适当模块下加入本条款,以满足这一要求。 (9) 次处理者可根据第 7 条在适当模块下加入本条款,以满足这一要求。
(10)
考虑到请求的复杂性和数量,在必要的情况下,该期限最多可再延长两个月。
数据导入者应及时适当地将任何此类延长通知数据主体。
(11)
数据导入者可通过仲裁机构提供独立的争端解决方案,但该仲裁机构必须设 在已批准《关于执行仲裁裁决的纽约公约》的国家。
(12)
关于这些法律和惯例对遵守这些条款的影响,可以考虑不同的因素,作为整体评估的一部分。
这些要素可包括在足够有代表性的时间范围内,在公共当局要求披露信息或没有要求披露信息的以往事例中的相关和有记录的实际经验。
这尤其是指根据尽职调查持续编制并经高级管理层认证的内部记录或其他文件,前提是这些信息可以合法地与第三方共享。
如果依据这一实际经验得出结论,认为数据进口商不会被阻止遵守这些条款,则需 要有其他相关的客观因素的支持,缔约方应仔细考虑这些因素在可靠性和代表性方面是 否具有足够的权重来支持这一结论。
特别是,缔约方必须考虑其实践经验是否得到公开的或以其他方式可以获得的、关于同 一部门存在或不存在要求和/或在实践中适用法律的可靠信息(如判例法和独立监督机构的报 告)的证实,而不是相互矛盾。
附录
解释性说明:必须能够清楚地区分适用于每项转让或每类转让的信息,并在这方面确 定缔约方作为数据出口方和/或数据进口方各自的作用。
这并不一定要求为每项转让/每类转让和/或合同关系填写和签署单独的附录,因为通过一个附录就可以实现这种透明度。
但是,为确保足够清晰,必要时应使用单独的附录。
附 件 I
A.当事方名单
数据输出者:[数据输出者的身份和联系方式,以及(如适用)其数据保护官和/或欧盟代表的身份和联系方式
- 姓名… 地址… 联系人姓名、职务和联系方式:……与根据本条款转让的数据有关的活动:……签名和日期:……角色(控制者/处理者):…
- ……
数据导入者:[数据导入者的身份和详细联系信息,包括任何负责数据保护的联系人
- 姓名… 地址… 联系人姓名、职务和联系方式:……与根据本条款转让的数据有关的活动:……签名和日期:……角色(控制者/处理者):…
- …..
B.转让说明
個人資料被轉移的資料當事人的類別……被轉移的個人資料的類別……被轉移的敏感資料(如適用),以及充分考慮到資料的性質和所涉及風險的限制或保障措施,例如嚴格的目的限制、查閱限制(包括只限曾接受專門培訓的員工查閱)、保存資料查閱記錄、轉移限制或額外保安措施。
… 传输的频率(例如,数据是一次性传输还是持续传输)。
……处理的性质……数据传输和进一步处理的目的……个人数据的保留期限,或者,如果无法保留,用于确定该期限的标准……对于向(分)处理者的传输,还应说明处理的主题、性质和期限……。
C.主管监督机构
根据第 13 条确定主管监督机构…
附 件 II
技术和组织措施,包括确保数据安全的技术和组织措施
解释性说明:技术和组织措施必须用具体的(而不是通用的)术语来描述。
另请参阅附录第一页的一般性评论,特别是需要明确指出哪些措施适用于每项转让/每组转让。 考虑到处理的性质、范围、背景和目的,以及对自然人的权利和自由的风险,描述数据输入者为确保适当的安全水平而实施的技术和组织措施(包括任何相关认证)。
[可能采取的措施举例:个人数据的假名化和加密措施 确保处理系统和服务的持续保密性、完整性、可用性和复原力的措施 确保在发生物理或技术事故时及时恢复个人数据的可用性和访问能力的措施 定期测试的程序、定期测试、评估和评价技术和组织措施有效性的流程,以确保处理的安全性 用户身份验证和授权措施 传输过程中的数据保护措施 存储过程中的数据保护措施 确保个人数据处理地点物理安全的措施 确保事件记录的措施 确保系统配置的措施、确保数据最小化的措施 确保数据质量的措施 确保有限的数据保留的措施 确保问责制的措施 允许数据可携性和确保擦除的措施] [对于转让给(子)处理机构的数据,应采取以下措施对于向(分)处理者的转移,还应说明(分)处理者为向控制者提供协助而采取的具体技术和组织措施,以及对于从处理者向分处理者的转移,向数据输出者提供协助而采取的具体技术和组织措施。
