欧洲数据保护委员会第四十二次全体会议提出两部新的标准合同条款草案,并通过《关于<电子隐私权法规>的声明》
来源:华东政法大学互联网法治研究院和数据法律研究中心 发布日期:2021-02-20 阅读:31次
2020年11月19日,欧洲数据保护委员会(以下简称“EDPB”)举行了第42届全体会议。在全体会议上,欧洲委员会提出了两部新的标准合同条款(Standard Contractual Clauses ,以下简称“SCC”)草案,而EDPB通过了《关于未来<电子隐私法规>的声明》。
欧盟委员会提出了两部SCC草案:一部SCC草案用于数据控制者和处理者之间的合同,另一部用于欧盟境外的数据传输。控制者-处理者SCC草案是全新的,并且是由委员会在GDPR第28(7)条和第2018/1725号条例第29(7)条的基础上提出的。该草案将在整个欧盟范围内发挥作用,以确保数据控制者与处理者之间的合同在整个欧盟范围内具有充分协调性和法律确定性。此外,委员会还提出了另外一部SCC草案,适用于根据GDPR第46(2)(c)条进行的向第三方国家传输数据的行为。这些SCC将取代在95/46号指令的基础上通过的关于数据跨境转移的SCC,并且需要进行更新以使其符合GDPR要求以及CEU的“ Schrems II”裁决。委员会已要求EDPB和EDPS对这两部SCC的实施法案提出联合意见。
EDPB主席Andrea Jelinek表示:“对于将个人数据传输到第三国的新SCC,人们一直寄予厚望,重要的是要指出,它们并不是Schrems II以后数据传输的万能解决方案。为了使对传输的数据的保护水平达到欧盟的基本等效标准,EDPB关于补充措施的建议应当循序渐进。EDPB将与EDPS一起,按照欧洲委员会的要求,就两套SCC草案彻底起草联合意见。”
关于补充措施的第1/020号建议:在全体会议中,EDPB成员决定将有关补充转移工具以确保遵守欧盟个人数据保护措施的建议的公众咨询的最后期限从2020年11月30日延长到2020年12月21日。
EDPB通过《关于未来<电子隐私法规>的声明》:EDPB对有关执行《电子隐私法规》的讨论的一些新方向表示关注,这可能导致监管分散,程序复杂,个人和公司缺乏一致性和法律确定性。EDPB强调,未来的《电子隐私法规》的许多规定都涉及个人数据的处理,GDPR和《电子隐私法规》的许多规定紧密相关。如果将电子隐私法规和GDPR的这些部分的执行委托给同一机构,那么涉及个人数据保护时,这两组规则的一致解释和执行将以最有效的方式实现。
EDPB主席Andrea Jelinek补充说:“根据《电子隐私法规》,对个人数据处理活动的监督应交由负责实施GDPR的同一国家机构进行。这将确保实现高水平的数据保护,营造公平的竞争环境,并确保欧盟范围内对《电子隐私法规》中个人数据处理要素的统一解释和执行。”
EDPB还强调需要尽快通过新法规。
EDPB补充说,此声明不影响其先前的立场,包括其2019年3月和2018年5月的声明,并重申未来的《电子隐私法规》在任何情况下均不应降低当前《电子隐私指令》所提供的保护水平,并应补充通过为所有类型的电子通信的机密性和保护提供额外的有力保证从而实现对GDPR的补充。