aryaka aryaka

免责声明: 本文件根据https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en#ntc12-L_2021199EN.01003701-E0012网站上的文本生成,仅为方便阅读而提供。
不应将其视为权威文本或法律指南。

标准合同条款

处理器到处理器

第 I 节

第 1 條

目的和范围

    1. 这些标准合同条款的目的是确保在向第三国传输个人数据时,符合欧洲议会和欧盟理事会 2016 年 4 月 27 日关于在处理个人数据时保护自然人以及关于此类数据自由流动的第 2016/679条例(通用数据保护条例》)([1])的要求。
    2. 双方:
      1. 附件 I.A 所列的转移个人资料的自然人或法人、公共机关、机构或其他团体(以下称 “实体”)(以下称 “资料出口方”),以及
      2. 附件 I.A 所列的第三国实体(以下称 “数据输入方”)直接或间接通过同为本条款缔约方的另一实体从数据输出方接收个人数据,并同意本标准合同条款(以下称 “条款”)。
    3. 本条款适用于附件 I.B 所规定的个人数据的传输。
    4. 本条款的附录包含其中提及的附件,构成本条款的组成部分。

第 2 条条款的效力和不变性

  1. 本条款根据(欧盟)第 2016/679 号法规第 46(1)条和第 46(2)(c)条规定了适当的保障措施,包括可强制执行的数据主体权利和有效的法律补救措施,并根据(欧盟)第 2016/679 号法规第 28(7)条规定了从控制者向处理者和/或处理者向处理者的数据传输的标准合同条款,但不得对其进行修改,选择适当的模块或添加或更新附录中的信息除外。
    这并不妨碍双方将这些条款中规定的标准合同条款纳入更广泛的合同和/或增加其他条款或额外的保障措施,只要它们不直接或间接与这些条款相抵触或损害数据主体的基本权利或自由。
  2. 本条款不影响数据输出方根据(欧盟)2016/679 号法规应承担的义务。

第 3 条第三方受益人

  1. 数据主体可作为第三方受益人对数据输出方和/或数据输入方援引并执行本条款,但以下情况除外:

    (i) 第 1 條、第 2 條、第 3 條、第 6 條及第 7 條;

    (ii) 第 8.1(a)、
    (c)及
    (d)及第 8.9(a)、(c)及(d)條
    (c),
    (d),
    (e),
    (f)及
    (g);

    (iii) 第 9(a)、(b)、(c)、(d)及(e)條
    (c),
    (d)及
    (e);

    (iv) 第 12(a)、(d)及(f)條;

    (v) 第 13 条;

    (vi) 第 15.1(c)、(d)和(e)条;

    (vii) 第 16(e)條;

    (viii) 第 18(a)及(b)條。

  • 第(a)段不影响第 2016/679 号条例(欧盟)规定的数据主体的权利。

    • 第 4 条釋義 釋義 釋義 釋義

    1. 本条款中使用的术语如在(欧盟)2016/679 号条例中有所定义,则这些术语应具有与该条例中相同的含义。
    2. 本条款应根据(欧盟)2016/679 号条例的规定进行解读和解释。
    3. 本条款的解释不得与法规 (EU) 2016/679 中规定的权利和义务相冲突。

    第 5 条优先权如果本条款与双方达成本条款时或此后签订的相关协议的规定相抵触,应以本条款为准。 第 6 条转让说明 转让的详细情况,特别是转让的个人资料类别和转让目的,见附件 I.B。 第 7 条–可选条款对接条款

    1. 非本条款缔约方的实体,经缔约方同意,可随时作为数据出口方或数据进口方,通过填写附录和签署附件 I.A 加入本条款。
    2. 一旦完成附录并签署附件 I.A,加入实体将成为本条款的缔约方,并根据其在附件 I.A 中的指定享有数据出口方或数据进口方的权利和义务。
    3. 加入实体在成为缔约方之前不享有本条款规定的权利,也不承担本条款规定的义务。

    第二节–各方的义务第 8 条数据保护的保障措施 数据输出方保证已尽合理努力确定数据输入方通过实施适当的技术和组织措施能够履行本条款规定的义务。8.1 说明

    1. 数据输出者已通知数据输入者,其作为处理者是根据其控制者的指示行事,数据输出者应在处理前向数据输入者提供这些指示。
    2. 数据导入者只能根据数据输出者传达给数据导入者的控制者的书面指示以及数据输出者的任何附加书面指示处理个人数据。
      此类附加指示不得与控制者的指示相冲突。
      在整个合同期内,控制方或数据输出方可就数据处理发出进一步的书面指示。
    3. 如果数据导入者无法遵循这些指示,应立即通知数据导出者。
      如果数据导入者无法遵循控制者的指示,数据导出者应立即通知控制者。
    4. 数据输出者保证,它对数据输入者施加的数据保护义务与控制者和数据输出者之间的合同或欧盟或成员国法律规定的其他法律行为中的义务相同([2])。

    8.2 目的限制資料輸入方僅可為附件I.B.所載的特定轉移目的處理個人資料,除非資料控 制人向資料輸出方向資料輸入方發出進一步指示,或資料輸出方發出進一 步指示。8.3 透明度应要求,数据出口方应免费向数据主体提供一份本条款的副本,包括双方填写的附录。
    在保护商业秘密或其他机密信息(包括个人数据)所需的范围内,数据输出方可在共享附录副本前编辑部分文本,但在数据主体无法理解其内容或行使其权利的情况下,应提供有意义的摘要。
    如資料當事人提出要求,締約方應盡可能在不透露經刪 改的資訊的情況下,向資料當事人提供刪改的理由。8.4 准确性如果数据输入方意识到其收到的个人数据不准确或已经过时,应及时通知数据输出方。
    在此情况下,数据输入方应与数据输出方合作,纠正或删除数据。
    8.5 数据处理的期限和数据的删除或归还 数据输入者的处理只能在附件 I.B 规定的期限内进行。在处理服务提供结束后,数据输入者应根据数据输出者的选择,删除以控制者名义处理的所有个人数据,并向数据输出者证明其已这样做,或向数据输出者归还以其名义处理的所有个人数据,并删除现有副本。
    在数据被删除或归还之前,数据输入方应继续确保遵守本条款。
    如果适用于数据导入者的当地法律禁止退回或删除个人数据,数据导入者保证将继续确保遵守本条款,并仅在当地法律要求的范围和期限内处理数据。
    这并不影响第 14 条的规定,尤其是第 14(e)条规定的数据输入方在有理由相信数据输出方受制于或已受制于不符合第 14(a)条规定的法律或惯例时,应在整个合同期内通知数据输出方的要求。 8.6 处理的安全性

    1. 数据输入方以及数据输出方在数据传输过程中应采取适当的技术和组织措施,以确保数据安全,包括防止安全漏洞导致意外或非法破坏、丢失、篡改、未经授权披露或访问数据(以下简称 “个人数据漏洞”)。
      在评估适当的安全级别时,双方应适当考虑技术水平、实施成本、处理的性质、范围、 背景和目的以及处理过程中对数据当事人造成的风险。
      双方应特别考虑采用加密或假名化的方式,包括在传输过程中,如果这样做可以达到处理的目的。
      在假名化的情况下,在可能的情况下,将个人数据归属于特定数据主体的附加信息应完全由数据输出方或控制方控制。
      在遵守本款规定的义务时,数据输入者至少应实施附件 II 中规定的技术和组织措施。
      数据输入者应进行定期检查,以确保这些措施继续提供适当的安全水平。
    2. 数据输入方仅在执行、管理和监督合同所严格需要的范围内允许其工作人员访问数据。
      它应确保被授权处理个人数据的人员已承诺保密或负有适当的法定保密义务。
    3. 如資料輸入者根據本條款處理的個人資料外洩,資料輸入者應採取適當措施處理外洩事 件,包括減輕不利影響的措施。
      資料輸入者在知悉資料外洩事故後,亦須通知資料輸出者,並在適當及可行的情況下通知控制者,不得無理延遲。
      该通知应包含可获取更多信息的联络点的详情、对信息外泄性质的描述(在可能的情况下,包括数据主体和相关个人数据记录的类别和大致数量)、其可能造成的后果以及为解决数据外泄问题而采取或建议采取的措施,包括为减轻其可能造成的不利影响而采取的措施。
      在不可能同时提供所有信息的情况下,首次通知应包含当时可获得的信息,随后在获得进一步信息时应及时提供,不得无故拖延。
    4. 数据导入者应与数据导出者合作并提供协助,使数据导出者能够遵守第 2016/679 号法规(欧盟)规定的义务,特别是通知其控制者,以便后者在考虑到处理性质和数据导入者可用信息的情况下,通知主管监督机构和受影响的数据主体。

    8.7 敏感数据如果转让涉及揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个人数据、基因数据或用于唯一识别自然人的生物特征数据、有关健康或一个人的性生活或性取向的数据,或与刑事定罪和犯罪有关的数据(下称 “敏感数据”),数据输入者应适用附件 I.B 中规定的具体限制和/或附加保障措施。
    8.8 向前转让数据导入者只能根据数据输出者传达给数据导入者的控制者的书面指示向第三方披露个人数据。
    此外,只有在以下情况下,方可向位于欧盟([3])以外(与数据导入者位于同一国 家或另一第三国,下称 “向前转移”)的第三方披露数据:该第三方根据适当模块受本 条款约束或同意受本条款约束,或符合以下条件:

    1. 转运至受益于根据(欧盟)第 2016/679 号条例第 45 条做出的适当性决定的国家,该决定涵盖转运;
    2. 第三方根据(欧盟)2016/679 号法规第 46 或 47 条另行确保适当的保障措施;
    3. 在特定的行政、监管或司法程序中,为确立、行使或捍卫法律主张而必须进行的转 移;或
    4. 为保护数据当事人或其他自然人的重要利益,有必要进行转发。

    数据输入方必须遵守本条款规定的所有其他保障措施,尤其是目的限制。 8.9 文件编制与合规

    1. 数据输入方应及时、充分地处理数据输出方或控制方提出的与本条款规定的处理有关的询问。
    2. 双方应能证明遵守了这些条款。
      特别是,数据导入者应保存有关代表控制者进行的处理活动的适当文件。
    3. 数据输入方应向数据输出方提供所有必要信息,以证明其遵守了本条款规定的义务,数据输出方应向控制方提供这些信息。
    4. 数据输入方应允许并协助数据输出方在合理的时间间隔内或在有违规迹象时对本条款所涵盖的处理活动进行审计。
      同样的规定也适用于数据输出方根据控制方的指示要求进行审核的情况。
      在决定审计时,数据出口方可考虑数据进口方持有的相关证书。
    5. 如果审计是根据控制者的指示进行的,数据输出者应向控制者提供审计结果。
    6. 数据出口方可选择自行或委托独立审计员进行审计。
      审计可包括对数据进口商的场所或实体设施进行检查,并应酌情在合理通知的情况下进行。
    7. 缔约方应将第(a)和(b)款中所提及的信息提供给联合国教科文组织。
      (b)和
      (c) 段中提及的信息,包括任何审计的结果,应要求提供给主管监督机构。

    第 9 条次级处理者的使用

    1. 方案 1:事先特别授权 未经控制方事先特别书面授权,数据输入方不得将根据本条款代表数据输出方进行的任何处理活动分包给子处理方。
      数据输入方应在雇用子处理方之前至少[指定时间段]提交具体授权请求,并提供必要信息,以便控制方就授权作出决定。
      控制者应将此类聘用通知数据输出者。
      已获控制者授权的子处理者名单见附件 III。
      双方应不断更新附件 III:方案 2:一般书面授权 数据进口方获得控制方的一般授权,可以从商定的名单中聘用子处理方。
      数据导入者应至少提前[指定时间段]以书面形式明确告知控制员通过增加或更换子处理程序对该清单进行的任何预期变更,从而使控制员有足够的时间在聘用子处理程序之前反对此类变更。
      数据导入者应向控制者提供必要信息,以便控制者行使其反对权。
      数据导入者应通知数据导出者聘用子处理者。
    2. 如果数据导入者(代表控制者)聘用子处理者开展具体的处理活动,则应通过书面合同的方式进行,该合同应在实质上规定与本条款中约束数据导入者的相同的数据保护义务,包括在数据主体的第三方受益权方面。([4])双方同意,通过遵守本条款,数据输入方履行了第 8.8 条规定的义务。
      数据输入方应确保子处理方遵守数据输入方根据本条款应承担的义务。
    3. 数据导入者应在数据输出者或控制者提出要求时,提供上述次级处理者协议及任何后续修订的副本。
      在保护商业秘密或其他机密信息(包括个人数据)的必要范围内,数据导入者可在共享协议副本之前对协议文本进行编辑。
    4. 数据进口商应继续对数据出口商全面负责,履行其与数据进口商签订的合同规定的次级处理商的义务。
      如果子处理商未能履行合同规定的义务,数据进口商应通知数据出口商。
    5. 数据输入方应与子处理方约定第三方受益人条款,根据该条款,如果数据输入方已实际消失、在法律上不复存在或已破产,数据输出方有权终止子处理方合同并指示子处理方删除或归还个人数据。

    第 10 条资料当事人的权利

    1. 数据导入者应立即将其收到的数据主体的任何请求通知数据导出者,并酌情通知控 制者,除非已获得控制者授权,否则不得对该请求作出回应。
    2. 数据进口方应酌情与数据出口方合作,协助控制方履行其义务,回应数据主体关于行使其在第(EU)2016/679号条例或第(EU)2018/1725号条例(如适用)下的权利的请求。
      在这方面,双方应在附件二中列出适当的技术和组织措施,同时考虑到处理的性质、提供援助的方式以及所需援助的范围和程度。
    3. 在履行
      (a)及
      (b) 段规定的义务时,数据输入者应遵守数据输出者传达的控制者的指示。

    第 11 條补偿

    1. 数据导入者应通过个别通知或在其网站上以透明和易于获取的形式告知数据主体一个有权处理投诉的联络点。方案:数据导入者同意数据主体也可向独立的争议解决机构(以下简称 “争议解决机构”)提出投诉。[5]) 而無須資料當事人支付費用。
      它应按第(a)款规定的方式告知数据主体该补救机制,并告知他们无需使用该机制或按照特定顺序寻求补救]。
    2. 如果数据主体与其中一方在遵守本条款方面发生争议,该方应尽最大努力及时友好地解 决问题。
      双方应随时相互通报此类争议,并在适当情况下合作解决争议。
    3. 当数据主体根据第 3 条援引第三方受益权时,数据导入者应接受数据主体的以下决定
      1. 向其惯常居住地或工作地所在成员国的监管机构,或根据第 13 条规定向主管监管机构提出申诉;
      2. 将争端提交第 18 条所指的主管法院。
    4. 双方同意,根据第 2016/679 号法规(欧盟)第 80(1)条规定的条件,数据主体可由非营利机构、组织或协会代表。
    5. 数据导入者应遵守根据适用的欧盟或成员国法律具有约束力的决定。
    6. 数据导入者同意,数据主体做出的选择不会损害其根据适用法律寻求补救的实质性和程序性权利。

    第 12 条责任

    1. 每一方应对因违反这些条款而给另一方/各实体造成的任何损失负责。
    2. 对于数据导入者或其子处理者违反本条款规定的第三方受益人权利给数据主体造成的任何物质或非物质损害,数据导入者应向数据主体负责,数据主体有权获得赔偿。
    3. 尽管有第(b)款的规定,对于数据出口方或数据进口方(或其子处理方)因违反本条款规定的第三方受益人权利而给数据主体造成的任何实质性或非实质性损害,数据出口方应对数据主体负责,且数据主体有权获得赔偿。
      这不影响数据输出者的责任,以及在数据输出者是代表控制者行事的处理者的情况下,不影响控制者根据(欧盟)第 2016/679 号条例或(欧盟)第 2018/1725 号条例(如适用)应承担的责任。
    4. 双方同意,如果数据输出方根据第(c)款对数据输入方(或其分包商)造成的损害承担责任,则有权向数据输入方索回与数据输入方对损害所负责任相对应的那部分赔偿金。
    5. 如果因违反这些条款而对数据当事人造成的任何损害由多于一方负责,则所有责任方均应承担连带责任,且数据当事人有权向法院起诉其中任何一方。
    6. 双方同意,如果一方根据第(e)款的规定被认定负有责任,则有权向另一方/其余各 方索回与其对损害所负责任相应的那部分赔偿金。
    7. 数据导入者不得援引子处理者的行为来规避自己的责任。

    第 13 条监 督

    1. [Where the data exporter is established in an EU Member State:] 如附件 I.C 所示,负责确保数据输出方在数据传输方面遵守第 2016/679 号法规(欧盟)的监管机构应作为主管监管机构。 [如果数据出口商未在欧盟成员国设立,但根据第 3(2)条属于第 2016/679 号条例(欧盟)的领土适用范围,并已根据第 2016/679 号条例(欧盟)第 27(1)条任命了一名代表:]如附件 I.C 所示,《2016/679 号条例》(欧盟)第 27(1)条意义上的代表所在成员国的监督机构应作为主管监督机构行事。 [如果数据出口商未在欧盟成员国设立,但根据第 3(2)条属于第 2016/679 号条例(欧盟)的适用领土范围,则无需根据第 2016/679 号条例(欧盟)第 27(2)条指定代表:]如附件 I.C 所示,其个人数据根据本条款被转移以向其提供商品或服务或其行为受到监控的数据主体所在的成员国之一的监管机构应作为主管监管机构。
    2. 数据输入方同意在任何旨在确保遵守本条款的程序中接受主管监管机构的管辖并与之合作。
      特别是,数据导入者同意回应查询、接受审计并遵守监管机构采取的措施,包括补救和补偿措施。
      它应向监管机构提供已采取必要行动的书面确认。

    第 III 部分–地方法律和公共当局进入时的义务第 14 条影响遵守本条款的当地法律和惯例

      1. 双方保证没有理由认为,目的地第三国适用于数据输入方处理个人数据的法律和惯例,包括任何披露个人数据的要求或授权公共当局查阅的措施,会妨碍数据输入方履行本条款规定的义务。
        这是基于这样一种理解,即尊重基本权利和自由的本质,且不超出民主社会为保障第 2016/679 号法规(欧盟)第 23(1)条所列目标之一所必需且相称的法律和惯例,与本条款并不矛盾。
      2. 双方声明,在提供第(a)段中的保证时,他们特别适当考虑了以下因素:
        1. 传输的具体情况,包括处理链的长度、参与方的数量和使用的传输渠道;打算进行的后续传输;接收方的类型;处理的目的;传输的个人数据的类别和格式;发生传输的经济部门;传输数据的存储位置;
        2. 目的地第三国的法律和惯例–包括要求向公共当局披露数据或授权公共当局查阅数据的法律和惯例–与转让的具体情况相关,以及适用的限制和保障措施([6]);
        3. 为补充本条款规定的保障措施而采取的任何相关合同、技术或组织保障措施,包括在传输过程中以及在目的地国处理个人数据时采取的措施。
      3. 数据进口方保证,在根据(b)段进行评估时,已尽最大努力向数据出口方提供相关信息,并同意将继续与数据出口方合作,以确保遵守本条款。
      4. 双方同意将第(b)款规定的评估记录在案,并应要求提供给主管监督机构。
      5. 数据输入方同意,如果在同意本条款后和合同期内,有理由认为其正在或已经受制于不符合(a)段要求的法律或惯例,包括在第三国法律发生变化或有措施(如披露要求)表明此类法律在实践中的适用不符合(a)段要求后,应及时通知数据输出方。
        数据输出者应将通知转发给控制者。
      6. 在根据第(e)款发出通知后,或如果数据输出方有理由认为数据输入方不能再履行本条款规定的义务,数据输出方应立即确定数据输出方和/或数据输入方为应对这种情况而采取的适当措施(如确保安全和保密的技术或组织措施),并酌情与控制方协商。如果数据输出方认为无法确保对数据传输采取适当的保障措施,或在控制方或主管监督机构的指示下,数据输出方应暂停数据传输。在此情况下,数据输出方有权终止合同,只要合同涉及本条款规定的个人数据处理。如果合同涉及两方以上,除非双方另有约定,否则数据输出方仅可对相关方行使终止权。根据本条款终止合同时,应适用第 16 条(d)和(e)款。

    第 15 条公共机构查阅时数据输入者的义务15.1 通知

      1. 数据导入者同意在出现以下情况时立即通知数据导出者,并在可能的情况下通知数据主体(如有必要,在数据导出者的帮助下): 1:
        1. 收到公共机构(包括司法机构)根据目的地国法律提出的具有法律约束力的请求,要求披露根据本条款转让的个人数据;此类通知应包括有关请求的个人数据、请求机构、请求的法律依据以及所提供答复的信息;或
        2. 了解到公共机构可根据目的地国的法律直接访问根据本条款转让的个人数据;此类通知应包括进口商可获得的所有信息。
          • 如果目的地国法律禁止数据进口方通知数据出口方和/或数据主体,数据进口方同意尽最大努力争取免除禁令,以便尽快传达尽可能多的信息。
            数据导入者同意将其最大努力记录在案,以便在数据导出者提出要求时加以证明。
          • 在目的地国法律允许的情况下,数据输入方同意在合同期内定期向数据输出方提供尽可能多的关于所收到请求的相关信息(特别是请求的数量、请求的数据类型、请求机构、请求是否受到质疑以及质疑的结果等)。
            数据输出方应将这些信息转发给控制方。
          • 数据输入方同意在合同期内保存(a)至(c)段所述信息,并应要求提供给主管监督机构。
          • (a)至(c)段不影響資料輸入方根據第 14(e)條及第 16 條在無法遵守本條款時迅速通知資料輸出方的義務。

        15.2 审查合法性和数据最小化

        1. 数据导入者同意审查披露请求的合法性,特别是它是否仍在授予提出请求的公共当局的权力范围之内,并在仔细评估后得出结论,认为根据目的地国的法律、国际法规定的适用义务和国际礼让原则,有合理的理由认为该请求不合法时,对该请求提出质疑。
          数据进口方应在同等条件下寻求上诉的可能性。
          在对请求提出质疑时,数据进口方应寻求临时措施,以在主管司法当局就请求的是非曲直作出裁决之前,暂缓该请求的效力。
          在适用的程序规则要求披露之前,不得披露所要求的个人数据。
          这些要求不影响第 14(e)条规定的数据输入者的义务。
        2. 数据进口商同意将其法律评估和对披露请求的任何质疑记录在案,并在目的地国法律允许的范围内,将文件提供给数据出口商。
          它还应根据要求向主管监督机构提供该文件。
          数据输出方应将评估结果提供给控制方。
        3. 数据导入者同意在回应披露请求时,根据对请求的合理解释,提供允许的最低信息量。

        第 IV 节 – 最后条款第 16 条不遵守条款和终止条款

        1. 如果数据输入方因任何原因无法遵守这些条款,应立即通知数据输出方。
        2. 如果数据输入方违反本条款或无法遵守本条款,数据输出方应暂停向数据输入方传输个人数据,直至再次确保遵守本条款或终止合同。
          这不影响第 14(f)条的规定。
        3. 在下列情况下,数据输出方有权终止合同,只要合同涉及本条款规定的个人数据处理:
          1. 数据输出方已根据第(b)段暂停向数据输入方传输个人数据,且未在合理时间内(无论如何应在暂停后一个月内)恢复遵守本条款;
          2. 資料輸入者嚴重或持續違反本條款;或
          3. 数据输入方未遵守主管法院或监管机构就其在本条款下的义务做出的具有约束力的决定。在此情况下,数据输入方应将其未遵守决定的情况通知主管监管机构和控制方。
            如果合同涉及两方以上,数据输出方只能对相关方行使终止权,除非双方另有约定。
        4. 根据第(c)款在合同终止前已转让的个人数据,应由数据输出方选择立即归还给数据输出方或全部删除。
          这同样适用于任何数据副本。
          数据输入方应向数据输出方证明数据已被删除。
          在数据删除或归还之前,数据导入方应继续确保遵守本条款。
          如果适用于数据导入方的当地法律禁止退回或删除所转移的个人数据,数据导入方保证将继续确保遵守本条款,并仅在当地法律要求的范围内处理数据,且处理时间不得超过当地法律要求的期限。
        5. 在以下情况下,任何一方均可撤销其受本条款约束的协议
          (i) 欧盟委员会根据 (EU) 2016/679 号法规第 45(3)条通过一项决定,涉及本条款适用的个人数据传输;或
          (ii) (EU) 2016/679 号条例成为个人数据传输目的地国家法律框架的一部分。
          这并不影响根据(欧盟)2016/679 号条例适用于相关处理的其他义务。

        第 17 条准据法[方案 1:本条款应受欧盟某一成员国法律的管辖,条件是该法律允许第三方受益权。
        双方同意该法律应为_______(写明成员国)的法律]。[方案 2:本条款应受数据输出方所在欧盟成员国法律的管辖。如果该法律不允许第三方受益权,则应由允许第三方受益权的另一欧盟成员国的法律管辖。双方同意,这应是_______(请注明成员国)的法律]。 第 18 条诉讼地和管辖权的选择

        1. 因本条款产生的任何争议应由欧盟成员国法院解决。
        2. 双方同意,这些法院应为_____(请注明会员国)的法院。
        3. 数据当事人还可在其惯常居住地所在的成员国法院对数据输出方和/或数据输入方提起法律诉讼。
        4. 双方同意接受这些法院的管辖。

        附录解释性说明:必须能够明确区分适用于每项转让或每类转让的信息,并在这方面确 定缔约方作为数据出口方和/或数据进口方各自的作用。
        这并不一定要求为每项转让/每类转让和/或合同关系填写和签署单独的附录,因为通过一个附录就可以实现这种透明度。
        但是,为确保足够清晰,必要时应使用单独的附录。

        附 件 I

        A.当事方名单

        数据输出者:[数据输出者的身份和联系方式,以及其数据保护官员和/或欧盟代表的身份和联系方式(如适用)]

        • 名称: …………………………………地址: ……………………………….联系人姓名、职位和联系方式:………. ……………………………………………………..与根据本条款转让的数据有关的活动: ………………………………………………………. ……………………………………………………….签名和日期:…………………角色(控制者/处理者):
        • ……….

        数据导入者:[数据导入者的身份和详细联系信息,包括负责数据保护的任何联系人]。

        • 名称: ……………………………….地址: ……………………………..联系人姓名、职务和联系方式:………. ………………………………………………………与根据本条款转让的数据有关的活动: ………………………………………………………. ……………………………………………………….签名和日期: …………………角色(控制者/处理者):
        • ………….

        B.转让说明
        個人資料被轉移的資料當事人的類別……被轉移的個人資料的類別……被轉移的敏感資料(如適用),以及充分考慮到資料的性質和所涉及風險的限制或保障措施,例如嚴格的目的限制、查閱限制(包括只限曾接受專門培訓的員工查閱)、保存資料查閱記錄、轉移限制或額外保安措施。
        … 传输的频率(例如,数据是一次性传输还是持续传输)。
        ……处理的性质……数据传输和进一步处理的目的……个人数据的保留期限,或者,如果无法保留,用于确定该期限的标准……对于向(分)处理者的传输,还应说明处理的主题、性质和期限……。

        C.主管监督机构根据第 13 条确定主管监督机构……

        附 件 II

        技术和组织措施,包括确保数据安全的技术和组织措施 解释性说明:技术和组织措施必须用具体的(而不是通用的)术语来描述。
        另请参阅附录第一页的一般性评论,特别是需要明确指出哪些措施适用于每项转让/每组转让。 考虑到处理的性质、范围、背景和目的,以及对自然人的权利和自由的风险,描述数据输入者为确保适当的安全水平而实施的技术和组织措施(包括任何相关认证)。

        [可能采取的措施举例:

        个人数据化名和加密措施

        确保处理系统和服务的持续保密性、完整性、可用性和复原力的措施

        确保在发生物理或技术事故时能够及时恢复个人数据的可用性和访问的措施

        定期检测、评估和评价技术和组织措施有效性的程序,以确保处理过程的安全

        用户识别和授权措施

        传输过程中的数据保护措施

        数据存储期间的保护措施

        确保个人数据处理地点实体安全的措施

        确保事件记录的措施

        确保系统配置(包括默认配置)的措施

        内部 IT 和 IT 安全治理和管理措施

        工艺和产品的认证/保证措施

        确保数据最小化的措施

        确保数据质量的措施

        确保有限数据保留的措施

        确保问责的措施

        允许数据可携性和确保数据删除的措施]

        对于向(分)处理机的转让,还包括 描述(子)处理者为能够向控制者提供协助而采取的具体技术和组织措施,以及在处理者向子处理者转移数据时向数据输出者提供协助的具体技术和组织措施

        附 件 III

        分处理器列表 解释性说明:如果对子处理程序进行了特别授权(第 9(a)条,选项 1),则必须填写本附件。
        控制员已授权使用以下子处理程序:

        • 名称: …………….地址: …………..联系人姓名、职务和联系方式:……处理说明(包括在授权多个子处理方的情况下明确划分责任):……………………..
        • ………………….

        [1] 如果数据出口方是受第 2016/679 号条例(欧盟)管辖的处理方,代表作为控制方的欧盟机构或团体行事,则在聘用不受第 2016/679 号条例(欧盟)管辖的另一处理方(子处理)时,依赖本条款还可确保遵守欧洲议会和欧盟理事会 2018 年 10 月 23 日关于在欧盟机构处理个人数据方面保护自然人的第 2018/1725 号条例(欧盟)第 29(4)条、欧洲议会和欧盟理事会 2018 年 10 月 23 日第 2018/1725 号条例第 4 条,关于在欧盟机构、机关、办事处和代理机构处理个人数据时对自然人的保护,以及关于此类数据的自由流动,并废除第 45/2001 号条例(EC)和第 1247/2002/EC 号决定(OJ L 295,21.4.1
        OJ L 295, 21.11.2018, p.39),只要这些条款与控制者和处理者之间根据第(EU)2018/1725条例第 29(3)条签订的合同或其他法律行为中规定的数据保护义务相一致。
        当控制者和处理者依赖于第 2021/915 号决定中的标准合同条款时,情况尤其如此。[2]见第 2016/679 号条例(欧盟)第 28(4)条,如果控制者是欧盟机构或团体,则见第 2018/1725 号条例(欧盟)第 29(4)条。[3]《欧洲经济区协定》(《欧洲经济区协定》)规定将欧盟内部市场扩展至冰岛、列支敦士登和挪威三个欧洲经济区国家。
        欧盟数据保护立法,包括第(EU)2016/679 号条例,已被《欧洲经济区协定》涵盖并纳入其附件十一。
        因此,就本条款而言,数据进口商向位于欧洲经济区的第三方进行的任何披露都不属于转发。
        [4]子处理者可根据第 7 条在适当模块下加入本条款,以满足这一要求。
        [5]数据进口方只有在仲裁机构设在已批准《关于执行仲裁裁决的纽约公约》的国家的情况下,才能通过仲裁机构提供独立的争议解决办法。
        [6]关于此类法律和惯例对遵守这些条款的影响,可将不同要素作为整体评估的一部分加以考虑。
        这些要素可包括在足够有代表性的时间范围内,在公共当局要求披露或没有要求披露的以往事例中的相关和有记录的实际经验。
        这尤其是指根据尽职调查持续编制并经高级管理层认证的内部记录或其他文件,前提是这些信息可以合法地与第三方共享。
        如果依据这一实际经验得出结论,认为数据进口商不会被阻止遵守这些条款,则需 要有其他相关的客观因素的支持,缔约方应仔细考虑这些因素在可靠性和代表性方面是 否具有足够的权重来支持这一结论。
        特别是,缔约方必须考虑其实践经验是否得到公开的或以其他方式可以获得的、关于同 一部门存在或不存在要求和/或在实践中适用法律的可靠信息(如判例法和独立监督机构的报 告)的证实,而不是相互矛盾。