從事涉及處理歐盟自然人個人資料業務的企業應注意本週《歐盟一般資料保護法》(以下簡稱「GDPR」)的一項重要新發展:關於跨境資料傳輸,歐盟執委會通過了期待已久的新版標準契約條款(Standard Contractual Clauses,以下簡稱「SCC」)。新版 SCC 的內容包含企業跨境傳輸資料時,應先進行資料傳輸影響評估,且對於未在歐盟設立據點但受GDPR拘束的控制者和處理者也同樣有所適用。KPMG安侯法律事務所執行顧問翁士傑表示,由於接下來的幾個月內,受目前SCC規範下的跨境資料傳輸都必須轉換並適用新版的 SCC,且因SCC部分內容具有強制性,企業必須特別留意這些要求,並調整舊有的資料傳輸作法以因應此次的法規變動。
企業什麼時候需要開始適用新版 SCC?
雖然先前許多企業仰賴簽署 SCC 將資料從歐盟傳輸至歐盟境外資料保護法令不符合 GDPR 嚴格要求的國家,但現在新版的 SCC 已經獲通過而成為法律,企業將不得不採用新版 SCC,且新版SCC規定於新法生效之日起的 3 個月後,只要是受GDPR拘束的控制者和處理者,都必須使用新版 SCC;而使用舊版 SCC的企業,則有18 個月的轉換期間。對此,翁士傑表示,有在歐盟設立據點的台灣企業(如:子公司或辦事處),就要特別留意如將資料從歐盟傳輸至歐盟境外的關係企業或第三方時,未來須使用新版 SCC;且這些歐盟據點如果是在舊版 SCC 規範下進行資料傳輸,如資料仍被資料接收者使用,也需要使用新版SCC。
新版SCC的要求為何以及企業如何符合這些要求?
由於新版 SCC 強制契約各方須進行資料傳輸影響評估,且各方必須將影響評估的內容與結果記錄下來,而當監管機關要求時,也必須提供此影響評估,雖然歐盟執委會並未有指定的評估方法,對此,翁士傑表示,這代表於歐盟從事資料跨境傳輸的企業,必須自行設計資料傳輸影響評估的流程及範本,且於新版 SCC的規範下,企業所使用的評估方式將不能再以簡單的形式呈現,而必須有實質的評估動作。
此外,翁士傑也強調,將資料從歐盟傳輸至境外國家一直是歐盟個資監管機關的關注重點,當歐盟監管機關定期進行稽核時,企業是否有相關的影響評估紀錄是非常重要的。事實上,德國監管機關已於本週宣佈,將對有進行資料跨境傳輸的德國企業進行全國性稽核:監管機關將對大量的德國企業發出調查問卷,以評估資料跨境傳輸的合規性,且問卷將特別著重在第三方供應商的資料使用,這些供應商一般為企業提供電子郵件、虛擬主機、網頁追蹤、應用程式管理以及客戶和員工資料內部交換等服務。
因此,於接下來的幾個月內,如企業希望將資料從歐盟傳輸至歐盟境外並符合新版SCC的規範,翁士傑提供下列注意事項供企業參考以因應此次的法規變動:
(1) 進行資料盤點以確認新版 SCC的適用範圍
(2) 根據企業的實際營運情況設計新版SCC
(3) 根據企業所傳輸的資料類型、資料接受者的類型、接受者接受資料的方式及內容、以及資料主體的風險設計資料傳輸影響的評估流程及範本
(4)於持續性的基礎上,重新評估所採取的措施並填寫相關記錄。
