諮詢預約 歐盟於 2021 年 6 月通過了新版標準契約條款(Standard Contractual Clauses,下稱新版 SCC),為歐盟一般資料保護規則(General Data Protection Regulation,下稱GDPR)之資料國際傳輸規定揭開新扉頁。新版 SCC 係歐盟執委會根據 GDPR 授權訂定之資料保護條款(舊版 SCC 之授權依據則為歐盟個人資料保護指令),目的係加強 GDPR 適用之法律確定性,以更周全保護個人資料。SCC規範資料控制者(data controller)與資料處理者(data processor)間之資料傳輸及傳輸資料至歐盟經濟區以外之其他國家(下稱第三國)之情形,並要求個人資料之傳輸須於第三國對個人資料之保護達一定標準時始可進行。
新版 SCC 已於 2021 年 6 月 27 日生效,舊版 SCC 將與新版 SCC 併行適用至2021 年 9 月 27 日。在新版 SCC 生效後的 15 個月過渡期內,於 2021 年 9 月 27 日前根據舊版 SCC 與第三國所簽訂之資料傳輸契約,應視為於2022 年 12 月 27 日之前已提供 GDPR 第 46 條第 1 項之適當保護措施,確保其所處理之個人資料得到適當保護。由於新版 SCC 部分內容具有強制性,從事業務涉及處理歐盟自然人個資之企業,自應注意此一新發展,並因應法規變動調整資料傳輸措施以符合新版 SCC 之適用。
歐盟資訊保護委員會(European Data Protection Board,下稱 EDPB)針對CJEU Schrems II所做成之額外保護措施建議書指出,資料輸出方,無論係資料控制者或資料處理者,皆須逐案審查受傳輸之第三國法律或實務是否貫徹 SCC 之有效性。若資料輸出方認定第三國之法律或法理慣例與歐盟之個資保護法律法理實質強度並不相等時,資料輸出方應採取額外保護措施,確保保護程度達到歐盟所要求之水準。此一建議書亦可作為新版 SCC 操作之參考,EDPB 並提供企業審查國際傳輸應進行之步驟如下:
一、標明個資傳輸架構:企業應充分掌握資料傳輸之整體路線,包括個資傳輸至第三國後之後續傳輸情形。
二、檢驗個資傳輸工具安全性:企業應確認個資傳輸工具之安全性得充分保障資料主體之隱私權利。
三、第三國個資保護法律之評估:如該國已取得適足性認定,仍應確認該國個資保護現況是否仍合於適足性認定之標準,並評估第三國之個資保護法律及實踐是否可能對 SCC 之有效性產生負面影響。
四、採取額外保護措施:確認個資傳輸之隱私保護水準等同於歐盟標準,並提出採取額外保護措施所應進行之實際步驟。
五、定期追蹤監督個資保護情況:應訂定適當期間,定期評估傳輸至第三國之個人資料是否仍處於適當保護下,並評估可能對隱私保護產生影響之任何變化。
歐盟執委會雖期待能透過新版 SCC 降低中小企業之法遵成本,為其樹立較明確之個資隱私依循標準,然而,新版 SCC 所課與之法遵義務亦將加重企業之負擔,相較於大型企業擁有完善之法遵團隊,中小企業則於資源上或有難以因應處,所面臨之法遵困境亦顯而易見。對此,論者仍期待歐盟後續提出更清晰、簡潔、實用並含有明確例示之指南,明確指引中小企業應採取何種措施以符合新版 SCC 之要求,降低其法遵門檻,亦對資料主體提供更充分之保障。
參考資料:
1. European Commission, COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679
2. EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
3. Paula Bruening, ‘Can the new standard contractual clauses work for small business?’2021/8/2, <iapp.org/news/a/can-the-new-standard-contractual-clauses-work-for-small-business/> (最後瀏覽日:2021/9/1)