歐盟GDPR新發展 新版SCC條款將上路
KPMG安侯建業指出,若企業爲處理歐盟自然人個人資料業務,應注意歐盟一般資料保護規範(GDPR)重要新發展,也就是新版標準契約條款(SCC)。
新版SCC內容包含企業跨境傳輸資料時,應先進行資料傳輸影響評估,且對於未在歐盟設立據點但受GDPR拘束的控制者和處理者也同樣有所適用。
KPMG安侯法律事務所執行顧問翁士傑表示,受目前SCC規範下的跨境資料傳輸都必須轉換並適用新版的SCC,且因SCC部分內容具有強制性,企業必須特別留意這些要求,並調整舊有的資料傳輸作法以因應此次的法規變動。
依照歐盟規定,現在新版SCC已通過而成爲法律,企業需使用新版SCC,且新版SCC規定於新法生效之日起的三個月後,只要是受GDPR拘束的控制者和處理者,都必須使用新版SCC。而使用舊版SCC的企業,則有18個月的轉換期間。
翁士傑表示,有在歐盟設立據點的臺灣企業如子公司或辦事處,需特別留意將資料從歐盟傳輸至歐盟境外的關係企業或第三方時,未來須使用新版SCC;且這些歐盟據點如果是在舊版SCC規範下進行資料傳輸,如資料仍被資料接收者使用,也需要使用新版SCC。
由於新版SCC強制契約各方須進行資料傳輸影響評估,且各方必須將影響評估的內容與結果記錄下來,而當監管機關要求時,也必須提供此影響評估。翁士傑表示,在歐盟從事資料跨境傳輸的企業也必須自行設計資料傳輸影響評估的流程及範本,且於新版SCC的規範下,企業所使用的評估方式將不能再以簡單的形式呈現,而必須有實質的評估動作。
此外,翁士傑也強調,將資料從歐盟傳輸至境外國家一直是歐盟個資監管機關的關注重點,當歐盟監管機關定期進行稽覈時,企業是否有相關的影響評估紀錄是非常重要的。
事實上,德國監管機關已於本週宣佈對進行資料跨境傳輸的德國企業進行全國性稽覈,監管機關將對大量的德國企業發出調查問卷,以評估資料跨境傳輸的合規性,且問卷將特別着重在第三方供應商的資料使用,這些供應商一般爲企業提供電子郵件、虛擬主機、網頁追蹤、應用程式管理以及客戶和員工資料內部交換等服務。
翁士傑認爲,企業應儘快做資料盤點以確認新版SCC的適用範圍,並根據企業的實際營運情況設計新版SCC。此外,根據企業所傳輸的資料類型、資料接受者的類型、接受者接受資料的方式及內容、以及資料主體的風險設計資料傳輸影響的評估流程及範本