标准合同条款

第 I 节

第 1 條

目的和范围

  1. 这些标准合同条款的目的是确保在向第三国传输个人数据时,遵守欧洲议会和欧盟理事会 2016 年 4 月 27 日关于在处理个人数据时保护自然人以及个人数据自由流动的第 2016/679 号条例(欧盟)(《通用数据保护条例》)(1) 的要求。
  2. 缔约方:(1) 附件 I.A 所列的转让个人数据的自然人或法人、公共当局、机构或其他团体(下称 “实体”)(下称 “数据出口方”),以及(2) 直接或间接通过同为本条款缔约方的另一实体从数据出口方接收个人数据的第三国实体。(2)附件 I.A 所列第三国实体(以下称 “数据输出方”)直接或间接通过同为本 条款缔约方的另一实体(以下称 “数据输入方”)从数据输出方接收个人数据,并同意本 标准合同条款(以下称 “条款”)。
  3. 本条款适用于附件 I.B 所规定的个人数据的传输。
  4. 本条款的附录包含其中提及的附件,构成本条款的组成部分。

第 2 条条款的效力和不变性

  1. 本条款根据(欧盟)第 2016/679 号法规第 46(1)条和第 46(2)(c)条规定了适当的保障措施,包括可强制执行的数据主体权利和有效的法律补救措施,并根据(欧盟)第 2016/679 号法规第 28(7)条规定了从控制者向处理者和/或处理者向处理者的数据传输的标准合同条款,但不得对其进行修改,选择适当的模块或添加或更新附录中的信息除外。
    这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同和/或增加其他条款或额外的保障措施,只要它们不直接或间接与这些条款相抵触或损害数据主体的基本权利或自由。
  2. 本条款不影响数据输出方根据(欧盟)2016/679 号法规应承担的义务。

第 3 条第三方受益人

  1. Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7; (ii) Clause 8 – Module One: Clause 8.5 (e) and Clause 8.9(b); Module Two: Clause 8.1(b), 8.9(a), (c), (d) and (e); Module Three:模块三:第 8.1(a)、(c)和(d)条以及第 8.9(a)、(c)、(d)、(e)、(f)和(g)条; 模块四:(iii) 第 9 條 – 單元二:第 9(a)、 (c)、 (d)及 (e)條; 單元三:第 9(a)、 (c)、 (d)及 (e)條; (iv) 第 12 條 – 單元一:第 12(a)及 (d)條; 單元二及三:(v) 第 13 條; (vi) 第 15.1(c)、(d)及(e)條; (vii) 第 16(e)條; (viii) 第 18 條 – 單元一、二及三:第 18(a)及(b)條; 單元四:草案第 18 條
  2. 第(a)段不影响第 2016/679 号条例(欧盟)规定的数据主体的权利。

第 4 条釋義 釋義 釋義 釋義

  1. 本条款中使用的术语如在(欧盟)2016/679 号条例中有所定义,则这些术语应具有与该条例中相同的含义。
  2. 本条款应根据(欧盟)2016/679 号条例的规定进行解读和解释。
  3. 本条款的解释不得与法规 (EU) 2016/679 中规定的权利和义务相冲突。

5 条优先权如果本条款与双方之间的相关协议条款之间存在矛盾,则以本条款为准。 6 条转让 说明转让的详情,特别是转让的个人资料类别和转让目的,见附件 I.B。

  1. 非本条款缔约方的实体,经缔约方同意,可随时作为数据出口方或数据进口方,通过填写附录和签署附件 I.A 加入本条款。
  2. 一旦完成附录并签署附件 I.A,加入实体将成为本条款的缔约方,并根据其在附件 I.A 中的指定享有数据出口方或数据进口方的权利和义务。
  3. 加入实体在成为缔约方之前不享有本条款规定的权利,也不承担本条款规定的义务。

8数据保护保障措施数据输出方保证,它已尽合理努力确定数据输入方通过实施适当的技术和组织措施能够履行本条款规定的义务。8.1 说明

  1. 数据输入方只能根据数据输出方的书面指示处理个人数据。
    数据输出方可在整个合同期内发出此类指示。
  2. 如果数据输入方无法遵守这些指示,应立即通知数据输出方。

8.2 目的限制資料輸入方僅可為附件 I.B 所列的特定轉移目的處理個人資料,除非 資料輸出方有進一步指示。8.3 透明度如資料當事人提出要求,資料出口方須免費向其提供本條款的副本,包括雙方填寫的附錄。
在保护商业秘密或其他机密信息(包括附件 II 中描述的措施)和个人数据的必要范围内,数据输出方可在共享副本前编辑本条款附录的部分文本,但在数据主体无法理解其内容或行使其权利的情况下,应提供有意义的摘要。
如資料當事人提出要求,締約雙方應盡可能在不公開經刪節的資訊的情況下,向資料當事人提供刪節的理由。
本条款不影响数据输出方在第 2016/679 号法规(欧盟)第 13 和 14 条下的义务。8.4 准确性如果数据导入方意识到其收到的个人数据不准确或已过时,应及时通知数据导出方。
在此情况下,数据输入方应与数据输出方合作删除或更正数据。
8.5 数据处理的期限以及数据的删除或归还数据输入方的数据处理仅应在附件 I.B 规定的期限内进行。在处理服务提供结束后,数据输入方应根据数据输出方的选择,删除代表数据输出方处理的所有个人数据,并向数据输出方证明其已这样做,或将代表数据输出方处理的所有个人数据归还给数据输出方,并删除现有副本。
在数据被删除或归还之前,数据输入方应继续确保遵守本条款。
如果适用于数据导入方的当地法律禁止退回或删除个人数据,数据导入方保证将继续确保遵守本条款,并仅在当地法律要求的范围和期限内处理数据。
这并不影响第 14 条的规定,特别是第 14(e)条规定的数据输入方在有理由相信数据输出方受制于或已受制于不符合第 14(a)条规定的法律或惯例时,应在整个合同期内通知数据输出方的要求。 8.6 处理的安全性

  1. 数据输入方以及在数据传输过程中,数据输出方应采取适当的技术和组织措施,确保数据的安全,包括防止因违反安全规定而导致数据被意外或非法破坏、丢失、篡改、未经授权披露或访问(下称 “个人数据泄露”)。
    在评估适当的安全级别时,双方应适当考虑技术水平、实施成本、处理的性质、范 围、背景和目的以及处理过程中对数据主体造成的风险。
    双方应特别考虑采用加密或假名化的方式,包括在传输过程中,只要这样做可以达到处理 的目的。
    在假名化的情况下,在可能的情况下,将个人数据归属于特定数据主体的附加信息应由数据输出方全权控制。
    在遵守本款规定的义务时,数据输入者至少应执行附件 II 中规定的技术和组织措施。
    数据输入者应进行定期检查,以确保这些措施继续提供适当水平的安全。
  2. 数据输入方仅在执行、管理和监督合同所严格需要的范围内允许其工作人员访问个人数据。
    它应确保被授权处理个人资料的人员已承诺保密或负有适当的法定保密义务。
  3. 如資料輸入者根據本條款處理的個人資料外洩,資料輸入者須採 取適當措施處理外洩事件,包括減輕不利影響的措施。
    資料輸入者在知悉資料外洩事故後,亦應毫不拖延地通知資料輸出者。
    该通知应包含可获取更多信息的联络点的详细资料、对信息外泄性质的描述(在可能的情况下,包括有关数据主体和个人数据记录的类别和大致数量)、其可能造成的后果以及为解决信息外泄问题而采取或建议采取的措施,包括在适当情况下为减轻其可能造成的不利影响而采取的措施。
    在不可能同时提供所有信息的情况下,首次通知应包含当时可获得的信息,随后在获得进一步信息时应及时提供,不得无故拖延。
  4. 数据导入者应与数据导出者合作并提供协助,使数据导出者能够遵守第 2016/679 号法规(欧盟)规定的义务,特别是通知主管监督机构和受影响的数据主体,同时考虑到处理的性质和数据导入者可获得的信息。

8.7 敏感数据如果转让涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个 人数据、基因数据或用于唯一识别自然人的生物鉴别数据、有关健康或一个人的性生 活或性取向的数据,或与刑事定罪和犯罪有关的数据(下称 “敏感数据”),数据输 入者应适用附件 I.B 所述的具体限制和/或附加保障措施。
8.8 向前转让资料输入者只能根据资料输出者的书面指示向第三方披露个人资料。
此外,数据只能披露给欧盟 (4) 以外的第三方(与数据导入方在同一国家或另一第三国,下称 “向前转让”),条件是该第三方根据适当模块受本条款约束或同意受本条款约束,或者在以下情况下: – 数据导入方在欧盟 (5) 以外的第三方(与数据导入方在同一国家或另一第三国,下称 “向后转让”):

    • (i) 向前转移的对象是受益于根据(欧盟)第 2016/679 号条例第 45 条做出的适足性决定的国家,该决定涵盖向前转移;
    • (ii) 第三方根据(欧盟)2016/679 号法规第 46 或 47 条的规定,确保对相关处理采取适当的保障措施;
    • (iii) 为了在具体的行政、监管或司法程序中确立、行使或捍卫法律主张,有必要进行转 移;或
    (iv) 为了保护数据当事人或其他自然人的重要利益,有必要进行转发。

数据输入方必须遵守本条款规定的所有其他保障措施,尤其是目的限制。 8.9 文件编制与合规

  1. 数据输入方应及时、充分地处理数据输出方提出的与根据本条款进行的处理有关的询问。
  2. 双方应能证明遵守了这些条款。
    特别是,数据输入方应保存有关代表数据输出方进行的处理活动的适当文件。
  3. 数据进口商应向数据出口商提供所有必要信息,以证明其遵守了本条款规定的义务,并应数据出口商的要求,允许并协助在合理的时间间隔内或在有不遵守迹象时对本条款所涵盖的处理活动进行审核。
    在决定审查或审计时,数据出口方可考虑数据进口方持有的相关证书。
  4. 数据出口方可选择自行或委托独立审计员进行审计。
    审计可包括对数据进口商的场所或实体设施进行检查,并应酌情在合理通知的情况下进行。
  5. 缔约方应将第(a)和(b)款中所提及的信息提供给联合国教科文组织。
    (b)和
    (c) 段中提及的信息,包括任何审计的结果,应要求提供给主管监督机构。

第 9 条次级处理者的使用

  1. 方案 1:事先特别授权 未经数据出口方事先特别书面授权,数据进口方不得将根据本条款代表数据出口方进行的任何处理活动分包给子处理方。
    数据输入方应至少在聘用子处理方之前 提交具体授权请求,并提供必要信息,以便数据输出方就授权作出决定。
    已获数据出口方授权的子处理方名单见附件 III。
    双方应不断更新附件 III:方案 2:一般书面授权 数据进口方获得数据出口方的一般授权,可以从商定的名单中聘用子处理方。
    数据进口方应至少提前 以书面形式明确告知数据出口方通过增加或更换子处理方对该清单进行的任何预期变更,从而使数据出口方有足够的时间在聘用子处理方之前对此类变更提出异议。
    数据导入者应向数据输出者提供必要信息,以便数据输出者行使其反对权。
  2. 如資料輸入者(代表資料輸出者)聘請次處理者進行具體處理活動,須以書面合約進行,而該合約須在實質上規定與本條款下對資料輸入者具約束力的相同資料保障義務,包括資料當事人的第三方受益權。
    (8) 双方同意,通过遵守本条款,数据输入方履行了其在第 8.8 条下的义务。
    数据输入方应确保子处理方遵守数据输入方根据本条款应承担的义务。
  3. 如資料輸入者(代表資料輸出者)聘請次處理者進行具體處理活動,須以書面合約進行,而該合約須在實質上規定與本條款下對資料輸入者具約束力的相同資料保障義務,包括資料當事人的第三方受益權。
    (8) 双方同意,通过遵守本条款,数据输入方履行了其在第 8.8 条下的义务。
    数据输入方应确保子处理方遵守数据输入方根据本条款应承担的义务。
  4. 数据进口商应继续对数据出口商全面负责,履行其与数据进口商签订的合同规定的次级处理商的义务。
    如果子处理商未能履行合同规定的义务,数据进口商应通知数据出口商。
  5. 数据输入方应与子处理方约定第三方受益人条款,根据该条款,如果数据输入方已实际消失、在法律上不复存在或已破产,数据输出方有权终止子处理方合同并指示子处理方删除或归还个人数据。

第 10 条资料当事人的权利

  1. 数据导入者应立即将其收到的数据主体的任何请求通知数据导出者。
    除非数据输出方授权,否则数据输入方不得自行回应该请求。
  2. 数据进口方应协助数据出口方履行其义务,回应数据主体关于行使其在第 2016/679 号条例(欧盟)下的权利的请求。
    为此,双方应在附件 II 中列出适当的技术和组织措施,同时考虑到处理的性质、提供援助的方式以及所需援助的范围和程度。
  3. 在履行
    (a)和
    (b) 款规定的义务时,数据输入者应遵守数据输出者的指示。

第 11 條补偿

  1. 数据导入者应通过个别通知或在其网站上以透明和易于获取的方式告知数据主体一个有权处理投诉的联络点。方案:数据导入者同意数据主体也可向独立的争议解决机构(11)提出投诉而无需数据主体支付任何费用。它应按第(a)款规定的方式告知数据主体该补救机制,并告知他们不必使用该机 制,也不必按特定顺序寻求补救。]
  2. 如果数据主体与其中一方在遵守本条款方面发生争议,该方应尽最大努力及时友好地解 决问题。
    双方应随时相互通报此类争议,并在适当情况下合作解决争议。
  3. 当数据主体根据第 3 条援引第三方受益权时,数据输入方应接受数据主体的决定:(i) 向其惯常居住地或工作地所在成员国的监管机构或根据第 13 条向主管监管机构提出申诉;(ii) 根据第 18 条将争议提交主管法院。
  4. 双方同意,根据第 2016/679 号法规(欧盟)第 80(1)条规定的条件,数据主体可由非营利机构、组织或协会代表。
  5. 数据导入者应遵守根据适用的欧盟或成员国法律具有约束力的决定。
  6. 数据导入者同意,数据主体做出的选择不会损害其根据适用法律寻求补救的实质性和程序性权利。

第 12 条责任

  1. 每一方应对因违反这些条款而给另一方/各实体造成的任何损失负责。
  2. 对于数据导入者或其子处理者违反本条款规定的第三方受益人权利给数据主体造成的任何物质或非物质损害,数据导入者应向数据主体负责,数据主体有权获得赔偿。
  3. 尽管有第(b)款的规定,对于数据出口方或数据进口方(或其子处理方)因违反本条款规定的第三方受益人权利而给数据主体造成的任何实质性或非实质性损害,数据出口方应对数据主体负责,且数据主体有权获得赔偿。
    这不影响数据输出者的责任,以及在数据输出者是代表控制者行事的处理者的情况下,不影响控制者根据(欧盟)第 2016/679 号条例或(欧盟)第 2018/1725 号条例(如适用)应承担的责任。
  4. 双方同意,如果数据输出方根据第(c)款对数据输入方(或其分包商)造成的损害承担责任,则有权向数据输入方索回与数据输入方对损害所负责任相对应的那部分赔偿金。
  5. 如果因违反这些条款而对数据当事人造成的任何损害由多于一方负责,则所有责任方均应承担连带责任,且数据当事人有权向法院起诉其中任何一方。
  6. 双方同意,如果一方根据第(e)款的规定被认定负有责任,则有权向另一方/其余各 方索回与其对损害所负责任相应的那部分赔偿金。
  7. 数据导入者不得援引子处理者的行为来规避自己的责任。

第 13 条监 督

  1. [Where the data exporter is established in an EU Member State:] 如附件 I.C 所示,负责确保数据输出方在数据传输方面遵守第 2016/679 号法规(欧盟)的监管机构应作为主管监管机构。 [如果数据出口商未在欧盟成员国设立,但根据第 3(2)条属于第 2016/679 号条例(欧盟)的领土适用范围,并已根据第 2016/679 号条例(欧盟)第 27(1)条任命了一名代表:]如附件 I.C 所示,《2016/679 号条例》(欧盟)第 27(1)条意义上的代表所在成员国的监督机构应作为主管监督机构行事。 [如果数据出口商未在欧盟成员国设立,但根据第 3(2)条属于第 2016/679 号条例(欧盟)的适用领土范围,则无需根据第 2016/679 号条例(欧盟)第 27(2)条指定代表:]如附件 I.C 所示,其个人数据根据本条款被转移以向其提供商品或服务或其行为受到监控的数据主体所在的成员国之一的监管机构应作为主管监管机构。
  2. 数据输入方同意在任何旨在确保遵守本条款的程序中接受主管监管机构的管辖并与之合作。
    特别是,数据导入者同意回应查询、接受审计并遵守监管机构采取的措施,包括补救和补偿措施。
    它应向监管机构提供已采取必要行动的书面确认。

第 III 部分–地方法律和公共当局进入时的义务第 14 条影响遵守本条款的当地法律和惯例

  1. 双方保证没有理由认为,目的地第三国适用于数据输入方处理个人数据的法律和惯例,包括任何披露个人数据的要求或授权公共当局查阅的措施,会妨碍数据输入方履行本条款规定的义务。
    这是基于这样一种理解,即尊重基本权利和自由的本质,且不超出民主社会为保障第 2016/679 号法规(欧盟)第 23(1)条所列目标之一所必需且相称的法律和惯例,与本条款并不矛盾。
  2. 各方声明,在提供第(a)段中的保证时,它们特别适当考虑了以下因素:(i) 转让的具体情况,包括处理链的长度、参与方的数量和使用的传输渠道;打算进 行的后续转让;接收方的类型;处理的目的;转让的个人数据的类别和格式;转 让发生的经济部门;转让数据的存储地点;(ii) 目的地第三国的法律和惯例–包括要求向公共当局披露数据或授权公共当局查阅数据的法律和惯例–与转让的具体情况相关,以及适用的限制和保障措施(12); (iii) 为补充本条款规定的保障措施而制定的任何相关合同、技术或组织保障措施,包括在传输过程中和在目的地国处理个人数据时适用的措施。
  3. 数据进口方保证,在根据(b)段进行评估时,已尽最大努力向数据出口方提供相关信息,并同意将继续与数据出口方合作,以确保遵守本条款。
  4. 双方同意将第(b)款规定的评估记录在案,并应要求提供给主管监督机构。
  5. 如果数据进口方在同意本条款后以及在合同期内有理由认为其正在或已经受到不符合(a)段要求的法律或惯例的约束,包括在第三国法律发生变化或有措施(如披露要求)表明此类法律在实践中的适用不符合(a)段的要求后,数据进口方同意立即通知数据出口方。
  6. 根据第(e)款发出通知后,或如果数据出口方有理由相信数据进口方不能再履行本条款规定的义务,数据出口方应迅速确定数据出口方和/或数据进口方为应对这种情况而采取的适当措施(如确保安全和保密的技术或组织措施)。如果数据输出方认为无法确保对数据传输采取适当的保障措施,或在主管监督机构的指示下,数据输出方应暂停数据传输。在这种情况下,数据输出方有权终止合同,只要合同涉及本条款规定的个人数据处理。如果合同涉及两方以上,除非双方另有约定,否则数据输出方仅可对相关方行使终止权。根据本条款终止合同时,应适用第 16 条(d)和(e)款。

第 15 条公共机构查阅时数据输入者的义务15.1 通知

  1. 資料輸入方同意在下列情況下迅速通知資料輸出方,並在可能的情況下通知資料當事人(如有必要,在資料輸出方的協助下進行): (i) 收到公共機關(包括司法機關)根據目的地國法律提出的具有法律約束力的要求,要求披露根據本條款轉移的個人資料;該通知應包括有關資料當事人的資訊(i) 收到公共机构(包括司法机构)根据目的地国法律提出的具有法律约束力的请求,要求披露根据本条款转让的个人数据;此类通知应包括有关请求的个人数据、请求机构、请求的法律依据和所提供答复的信息;或 (ii) 意识到公共机构根据目的地国法律直接获取根据本条款转让的个人数据;此类通知应包括进口商可获得的所有信息。[模块三:数据出口方应将通知转发给控制方]。
  2. 如果目的地国法律禁止数据进口方通知数据出口方和/或数据主体,数据进口方同意尽最大努力争取免除禁令,以便尽快传达尽可能多的信息。
    数据导入者同意将其最大努力记录在案,以便在数据导出者提出要求时加以证明。
  3. 在目的地国法律允许的情况下,数据进口方同意在合同期内定期向数据出口方提供尽 可能多的相关信息,说明所收到的请求(特别是请求的数量、请求的数据类型、提出请求 的机构、请求是否受到质疑以及质疑的结果等)。
  4. 数据输入方同意在合同期内保存(a)至(c)段所述信息,并应要求提供给主管监督机构。
  5. (a)至(c)段不影響資料輸入方根據第 14(e)條及第 16 條在無法遵守本條款時迅速通知資料輸出方的義務。

15.2 审查合法性和数据最小化

  1. 数据导入者同意审查披露请求的合法性,特别是它是否仍在授予提出请求的公共当局的权力范围之内,并在仔细评估后得出结论,认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则,有合理的理由认为该请求不合法时,对该请求提出质疑。
    数据进口方应在同等条件下寻求上诉的可能性。
    在对请求提出质疑时,数据进口方应寻求临时措施,以在主管司法当局就请求的是非曲直作出裁决之前,暂缓该请求的效力。
    在适用的程序规则要求披露之前,不得披露所要求的个人数据。
    这些要求不影响第 14(e)条规定的数据输入者的义务。
  2. 数据进口商同意将其法律评估和对披露请求的任何质疑记录在案,并在目的地国法律允许的范围内,将文件提供给数据出口商。
    还应根据要求向主管监督机构提供。
    [模块三:数据输出方应向控制方提供评估结果]。
  3. 数据导入者同意在回应披露请求时,根据对请求的合理解释,提供允许的最低信息量。

第 IV 节 – 最后条款第 16 条不遵守条款和终止条款

  1. 如果数据输入方因任何原因无法遵守这些条款,应立即通知数据输出方。
  2. 如果数据输入方违反本条款或无法遵守本条款,数据输出方应暂停向数据输入方传输个人数据,直至再次确保遵守本条款或终止合同。
    这不影响第 14(f)条的规定。
  3. 在以下情况下,数据输出方有权终止合同,只要合同涉及根据本条款处理个人数据:(i) 数据输出方已根据第(b)段暂停向数据输入方传输个人数据,且在合理时间内(无论如何在暂停后一个月内)未恢复遵守本条款;(ii) 数据输入方严重或持续违反本条款;或(iii) 数据输入方未能遵守主管法院或监督机构就本条款规定的义务作出的具有约束力的决定。在此情况下,数据输入方应向主管监督机构[模块三:和控制方]通报此类违规行为。如果合同涉及两方以上,除非双方另有约定,否则数据输出方只能对相关方行使终止权。
  4. 根据第(c)款在合同终止前已转让的个人数据,应根据数据输出方的选择立即归还给数据输出方或全部删除。这同样适用于任何数据副本。][模块四:数据输出方在欧盟收集的个人数据,如在合同终止前已根据第(c)款转让,应立即全部删除,包括任何副本。]数据输入方应向数据输出方证明数据已被删除。在数据删除或归还之前,数据输入方应继续确保遵守本条款。如果适用于数据导入方的当地法律禁止退回或删除所转移的个人数据,则数据导入方保证将继续确保遵守本条款,并仅在当地法律要求的范围和期限内处理数据。
  5. 在以下情况下,任何一方均可撤销其受本条款约束的协议
    (i) 欧盟委员会根据 (EU) 2016/679 号法规第 45(3)条通过一项决定,涉及本条款适用的个人数据传输;或
    (ii) (EU) 2016/679 号条例成为个人数据传输目的地国家法律框架的一部分。
    这并不影响根据(欧盟)2016/679 号条例适用于相关处理的其他义务。

条款 17 管辖法律本条款应受欧盟成员国法律管辖,前提是该法律允许第三方受益权。
双方同意以德国法律为准。第 18 条诉讼地和管辖权的 选择

  1. 因本条款产生的任何争议应由欧盟成员国法院解决。
  2. 双方同意这些法院应为德国法院。
  3. 数据当事人还可在其惯常居住地所在的成员国法院对数据输出方和/或数据输入方提起法律诉讼。
  4. 双方同意接受这些法院的管辖。
(1) 如果数据输出者是受(EU)2016/679号条例约束的处理者,代表作为控制者的欧盟机构或团体行事,则在雇用不受(EU)2016/679号条例约束的另一处理者(子处理)时,依赖本条款还可确保遵守欧洲议会和欧盟理事会2018年10月23日关于在欧盟机构处理个人数据方面保护自然人的(EU)2018/1725号条例第29(4)条、机构、办事处和代理机构处理个人数据时对自然人的保护以及此类数据的自由流动,并废除第 45/2001 号条例 (EC) 和第 1247/2002/EC 号决定 (OJ L 295, 21. 11.2018, p. 39)11.2018,第 39 页),只要这些条款与控制者和处理者之间根据第 (EU) 2018/1725 号法规第 29(3)条签订的合同或其他法律行为中规定的数据保护义务相一致。
当控制者和处理者依赖于第 2021/915 号决定中的标准合同条款时,情况尤其如此。
(2) 这就要求根据(欧盟)2016/679 号条例第 26 条的规定,将数据匿名化,使个人的身份不再被任何人识别,并且这一过程是不可逆转的。
(3) 《欧洲经济区协定》(《欧洲经济区协定》)规定将欧盟内部市场扩展至三个欧洲经济区国家冰岛、列支敦士登和挪威。
欧盟数据保护立法,包括第(EU)2016/679 号条例,已被《欧洲经济区协定》涵盖并纳入其附件十一。
因此,就本条款而言,数据进口商向位于欧洲经济区的第三方进行的任何披露均不属于转发。
(4) 《欧洲经济区协定》(《欧经区协定》)规定将欧盟内部市场扩展至冰岛、列支敦士登和挪威三个欧经区国家。
欧盟数据保护立法,包括第(EU)2016/679 号条例,已纳入《欧洲经济区协定》附件十一。
因此,就本条款而言,数据进口商向位于欧洲经济区的第三方进行的任何披露均不属于转发。
(5) 见第(EU)2016/679 号条例第 28(4)条,如果控制者是欧盟机构或团体,则见第(EU)2018/1725 号条例第 29(4)条。
(6) 《欧洲经济区协定》(《欧洲经济区协定》)规定将欧盟内部市场扩展至三个欧洲经济区国家冰岛、列支敦士登和挪威。
欧盟数据保护立法,包括第(EU)2016/679 号条例,已纳入《欧洲经济区协定》附件十一。
因此,就本条款而言,数据进口商向位于欧洲经济区的第三方进行的任何披露均不属于转发转让。
(7) 这包括转移和进一步处理是否涉及揭示种族或民族血统、政治观点、宗教或哲学信仰、或工会会员身份的个人数据、用于唯一识别自然人的基因数据或生物特征数据、有关健康或个人性生活或性取向的数据、或与刑事定罪或犯罪有关的数据。
(8) 子处理者可根据第 7 条在适当模块下加入本条款,以满足这一要求。 (9) 次处理者可根据第 7 条在适当模块下加入本条款,以满足这一要求。
(10)
考虑到请求的复杂性和数量,在必要的情况下,该期限最多可再延长两个月。
数据导入者应及时适当地将任何此类延长通知数据主体。
(11)
数据导入者可通过仲裁机构提供独立的争端解决方案,但该仲裁机构必须设 在已批准《关于执行仲裁裁决的纽约公约》的国家。
(12)
关于这些法律和惯例对遵守这些条款的影响,可以考虑不同的因素,作为整体评估的一部分。
这些要素可包括在足够有代表性的时间范围内,在公共当局要求披露信息或没有要求披露信息的以往事例中的相关和有记录的实际经验。
这尤其是指根据尽职调查持续编制并经高级管理层认证的内部记录或其他文件,前提是这些信息可以合法地与第三方共享。
如果依据这一实际经验得出结论,认为数据进口商不会被阻止遵守这些条款,则需 要有其他相关的客观因素的支持,缔约方应仔细考虑这些因素在可靠性和代表性方面是 否具有足够的权重来支持这一结论。
特别是,缔约方必须考虑其实践经验是否得到公开的或以其他方式可以获得的、关于同 一部门存在或不存在要求和/或在实践中适用法律的可靠信息(如判例法和独立监督机构的报 告)的证实,而不是相互矛盾。

附录

解释性说明:必须能够清楚地区分适用于每项转让或每类转让的信息,并在这方面确 定缔约方作为数据出口方和/或数据进口方各自的作用。
这并不一定要求为每项转让/每类转让和/或合同关系填写和签署单独的附录,因为通过一个附录就可以实现这种透明度。
但是,为确保足够清晰,必要时应使用单独的附录。

附 件 I

A.缔约方清单 数据出口方: [数据输出者的身份和联系方式,以及(如适用)其数据保护官员和/或欧盟代表的身份和联系方式]

  • 名称: ……….地址: …….联系人姓名、职务和联系方式:………..与根据本条款转让的数据有关的活动: …………签名和日期: ………..
  • 角色(控制器/处理器): ………….

数据导入者: [数据导入者的身份和详细联系信息,包括任何负责数据保护的联系人

  • 名称: ……….地址: …….联系人姓名、职务和联系方式:………..与根据本条款转让的数据有关的活动: …………签名和日期: ………..
  • 角色(控制器/处理器): ………….

B.转让说明

個人資料被轉移的資料當事人的類別……被轉移的個人資料的類別……被轉移的敏感資料(如適用),以及充分考慮到資料的性質和所涉及風險的限制或保障措施,例如嚴格的目的限制、查閱限制(包括只限曾接受專門培訓的員工查閱)、保存資料查閱記錄、轉移限制或額外保安措施。
… 传输的频率(例如,数据是一次性传输还是持续传输)。
……处理的性质……数据传输和进一步处理的目的……个人数据的保留期限,或者,如果无法保留,用于确定该期限的标准……对于向(分)处理者的传输,还应说明处理的主题、性质和期限。
C.主管监督机构

根据第 13 条确定主管监督机构

附 件 II

技术和组织措施,包括确保数据安全的技术和组织措施 解释性说明:技术和组织措施必须用具体的(而不是通用的)术语来描述。
另请参阅附录第一页的一般性评论,特别是需要明确指出哪些措施适用于每项转让/每组转让。 考虑到处理的性质、范围、背景和目的,以及对自然人的权利和自由的风险,描述数据输入者为确保适当的安全水平而实施的技术和组织措施(包括任何相关认证)。
[可能采取的措施举例:个人数据的假名化和加密措施 确保处理系统和服务的持续保密性、完整性、可用性和复原力的措施 确保在发生物理或技术事故时及时恢复个人数据的可用性和访问能力的措施 定期测试的程序、定期测试、评估和评价技术和组织措施有效性的流程,以确保处理的安全性 用户身份验证和授权措施 传输过程中的数据保护措施 存储过程中的数据保护措施 确保个人数据处理地点物理安全的措施 确保事件记录的措施 确保系统配置的措施、确保数据最小化的措施 确保数据质量的措施 确保有限的数据保留的措施 确保问责制的措施 允许数据可携性和确保擦除的措施] [对于转让给(子)处理机构的数据,应采取以下措施对于向(分)处理者的转移,还应说明(分)处理者为向控制者提供协助而采取的具体技术和组织措施,以及从处理者向分处理者转移时向数据出口者提供协助的具体技术和组织措施。

附 件 III

分处理器列表 解释性说明:在对子处理程序进行特别授权的情况下(第 9(a)条,选项 1),模块二和模块三必须填写本附件。
控制员已授权使用以下子处理程序:

  • 名称: ……….
    地址: …….
    联系人姓名、职务和联系方式:………..
  • 处理说明(包括在授权多个子处理方的情况下明确划分责任):………….