欧州委員会はついに新しい標準契約条項(SCCs - Standard Contractual Clauses)を採択しました。 これは現行のSCCsに代わるものとなります。GDPRの下では、個人データが適切なレベルで保護 されるとみなされないEEA以外の国に個人データを移転する場合には、妥当な保護措置を講じる 必要があります。多くの場合、SCCsが唯一の実用的なソリューションとなるでしょう。
旧SCCsは目的に適していないとして、近年、ひどく批判されてきました。例えば、従来の条項 では、EEAの管理者がEEA域外の処理者または管理者にデータを転送するためだけに構成されて おり、EEA域内の処理者がデータを移転するためには構成されていないため、データ処理者による第三国への移転に関しては適切にカバーされていませんでした。
新SCCsにはより柔軟性があり、また以下のような移転が対象となります。
i. 管理者から管理者
ii. 管理者から処理者
iii. 処理者から副処理者
iv. 処理者から管理者
EUからデータを移転するために従来のSCCsに依存している事業に対して、現存するSCCsの更新に18ヶ月間、また、従来のSCCsを用いた新しい契約の締結には、向こう3ヶ月間の移行期間が設け られます。これらはどちらの日程も欧州委員会官報(OJEU – Official Journal of the European Union)に発表された日からの起算となります。
英国からの移転については、現在ICO(英国個人情報保護監督機関)は、旧SCCsのみを有効な転送メカニズムとして認めています。新しく特別に作られた英国SCCsの実施が期待されますが、ICO(英国個人情報保護監督機関)は新EUSCCsが認められるかどうかについても検討しています。
当面はデータ移転の再調査を行い、従来のSCCsでデータが移転されている場所を特定し、そのデータがEUまたは英国から第三国に移転されるかどうかを確認する事が賢明です。EUからデータが移転されていて、そのアレンジが18ヶ月以上続く場合は、新SCCsを導入する必要があります。今後3ヶ月以内に署名されない新しい契約がある場合、新SCCsを使用して署名する必要があり ます。今後3ヶ月以内に署名され、その契約が向こう18ヶ月以上に及ばない場合、従来のSCCsで 署名をする事が可能です。英国からのみデータを移転する場合はICO(英国個人情報保護監督 機関)から更なる情報が入って来るまでは、未だ何もする必要はありません。
新SCCsもしくはデータ保護法全般を適用する必要があるかを特定する為のサポートをご希望の方は、3CSの コーポレート/コマーシャル部門、もしくは3CSの担当者 までご連絡ください。
