欧盟GDPR新发展 新版SCC条款将上路

KPMG安侯建业指出，若企业为处理欧盟自然人个人资料业务，应注意欧盟一般资料保护规范（GDPR）重要新发展，也就是新版标准契约条款（SCC）。

新版SCC内容包含企业跨境传输资料时，应先进行资料传输影响评估，且对于未在欧盟设立据点但受GDPR拘束的控制者和处理者也同样有所适用。

KPMG安侯法律事务所执行顾问翁士杰表示，受目前SCC规范下的跨境资料传输都必须转换并适用新版的SCC，且因SCC部分内容具有强制性，企业必须特别留意这些要求，并调整旧有的资料传输作法以因应此次的法规变动。

依照欧盟规定，现在新版SCC已通过而成为法律，企业需使用新版SCC，且新版SCC规定于新法生效之日起的三个月后，只要是受GDPR拘束的控制者和处理者，都必须使用新版SCC。而使用旧版SCC的企业，则有18个月的转换期间。

翁士杰表示，有在欧盟设立据点的台湾企业如子公司或办事处，需特别留意将资料从欧盟传输至欧盟境外的关系企业或第三方时，未来须使用新版SCC；且这些欧盟据点如果是在旧版SCC规范下进行资料传输，如资料仍被资料接收者使用，也需要使用新版SCC。

由于新版SCC强制契约各方须进行资料传输影响评估，且各方必须将影响评估的内容与结果记录下来，而当监管机关要求时，也必须提供此影响评估。翁士杰表示，在欧盟从事资料跨境传输的企业也必须自行设计资料传输影响评估的流程及范本，且于新版SCC的规范下，企业所使用的评估方式将不能再以简单的形式呈现，而必须有实质的评估动作。

此外，翁士杰也强调，将资料从欧盟传输至境外国家一直是欧盟个资监管机关的关注重点，当欧盟监管机关定期进行稽核时，企业是否有相关的影响评估纪录是非常重要的。

事实上，德国监管机关已于本周宣布对进行资料跨境传输的德国企业进行全国性稽核，监管机关将对大量的德国企业发出调查问卷，以评估资料跨境传输的合规性，且问卷将特别着重在第三方供应商的资料使用，这些供应商一般为企业提供电子邮件、虚拟主机、网页追踪、应用程式管理以及客户和员工资料内部交换等服务。

翁士杰认为，企业应尽快做资料盘点以确认新版SCC的适用范围，并根据企业的实际营运情况设计新版SCC。此外，根据企业所传输的资料类型、资料接受者的类型、接受者接受资料的方式及内容、以及资料主体的风险设计资料传输影响的评估流程及范本