明毓律師事務所HSU & Associates
2022/2/24 / 法律知識

認識歐盟新版標準契約條款:個資國際傳輸新發展

 

歐盟於 2021 年 6 月通過了新版標準契約條款(Standard Contractual Clauses,下稱新版 SCC),為歐盟一般資料保護規則(General Data Protection Regulation,下稱GDPR)之資料國際傳輸規定揭開新扉頁。新版 SCC 係歐盟執委會根據 GDPR 授權訂定之資料保護條款(舊版 SCC 之授權依據則為歐盟個人資料保護指令),目的係加強 GDPR 適用之法律確定性,以更周全保護個人資料。SCC規範資料控制者(data controller)與資料處理者(data processor)間之資料傳輸及傳輸資料至歐盟經濟區以外之其他國家(下稱第三國)之情形,並要求個人資料之傳輸須於第三國對個人資料之保護達一定標準時始可進行。

 

新版 SCC 已於 2021 年 6 月 27 日生效,舊版 SCC 將與新版 SCC 併行適用至2021 年 9 月 27 日。在新版 SCC 生效後的 15 個月過渡期內,於 2021 年 9 月 27 日前根據舊版 SCC 與第三國所簽訂之資料傳輸契約,應視為於2022 年 12 月 27 日之前已提供 GDPR 第 46 條第 1 項之適當保護措施,確保其所處理之個人資料得到適當保護。由於新版 SCC 部分內容具有強制性,從事業務涉及處理歐盟自然人個資之企業,自應注意此一新發展,並因應法規變動調整資料傳輸措施以符合新版 SCC 之適用。

 

歐盟資訊保護委員會(European Data Protection Board,下稱 EDPB)針對CJEU Schrems II所做成之額外保護措施建議書指出,資料輸出方,無論係資料控制者或資料處理者,皆須逐案審查受傳輸之第三國法律或實務是否貫徹 SCC 之有效性。若資料輸出方認定第三國之法律或法理慣例與歐盟之個資保護法律法理實質強度並不相等時,資料輸出方應採取額外保護措施,確保保護程度達到歐盟所要求之水準。此一建議書亦可作為新版 SCC 操作之參考,EDPB 並提供企業審查國際傳輸應進行之步驟如下:

 

一、標明個資傳輸架構:企業應充分掌握資料傳輸之整體路線,包括個資傳輸至第三國後之後續傳輸情形。

二、檢驗個資傳輸工具安全性:企業應確認個資傳輸工具之安全性得充分保障資料主體之隱私權利。

三、第三國個資保護法律之評估:如該國已取得適足性認定,仍應確認該國個資保護現況是否仍合於適足性認定之標準,並評估第三國之個資保護法律及實踐是否可能對 SCC 之有效性產生負面影響。

四、採取額外保護措施:確認個資傳輸之隱私保護水準等同於歐盟標準,並提出採取額外保護措施所應進行之實際步驟。

五、定期追蹤監督個資保護情況:應訂定適當期間,定期評估傳輸至第三國之個人資料是否仍處於適當保護下,並評估可能對隱私保護產生影響之任何變化。

 

歐盟執委會雖期待能透過新版 SCC 降低中小企業之法遵成本,為其樹立較明確之個資隱私依循標準,然而,新版 SCC 所課與之法遵義務亦將加重企業之負擔,相較於大型企業擁有完善之法遵團隊,中小企業則於資源上或有難以因應處,所面臨之法遵困境亦顯而易見。對此,論者仍期待歐盟後續提出更清晰、簡潔、實用並含有明確例示之指南,明確指引中小企業應採取何種措施以符合新版 SCC 之要求,降低其法遵門檻,亦對資料主體提供更充分之保障。

 

參考資料:

1. European Commission, COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679

2. EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

3. Paula Bruening, ‘Can the new standard contractual clauses work for small business?’2021/8/2, <iapp.org/news/a/can-the-new-standard-contractual-clauses-work-for-small-business/> (最後瀏覽日:2021/9/1)
文章分類
近期文章
拜登《發展數位資產行政命令》簡介
加密貨幣該怎麼管?美國《金融創新責任法案》簡介(下篇)
加密貨幣該怎麼管? 美國《金融創新責任法案》簡介(上篇)
公益與營業秘密揭露之兩難——簡介TRIPS Covid-19豁免提案
認識歐盟新版標準契約條款:個資國際傳輸新發展
深偽技術移花接木——面對人工智慧,個資法準備好了嗎?
疫苗通行證將上線?淺談「台北通app」之個資蒐用問題
中國個人信息保護法開跑!十大重點一次看!
真的假的!?埋在發財致富路的陷阱 ——淺談詐欺取財罪與非法吸金罪
謝絕來電計畫——公正第三方介入當事人同意機制之可行性?
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知